如何将SSL_RSA添加到SSLCipherSuite?

时间:2016-05-13 21:48:31

标签: apache ssl ssl-certificate

真的希望在我的SSLCipherSuite问题上有所帮助...所以我有这种虚拟主机配置:

<VirtualHost *:443>
DocumentRoot /home/webz/site.com
ServerName site.com
ServerAlias www.site.com

SSLProtocol -all +TLSv1.1 +TLSv1.2

SSLHonorCipherOrder on
SSLCipherSuite "kEDH:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+AESGCM:EECDH:EDH+AESGCM:EDH+aRSA:HIGH:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!DHE-RSA-SEED-SHA:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DH+3DES:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES256-SHA256:!DHE-RSA-AES256-SHA:!DHE-RSA-CAMELLIA256-SHA:!DHE-RSA-DES-CBC3-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES128-SHA256:!DHE-RSA-AES128-SHA:!DHE-RSA-CAMELLIA128-SHA:!RC4"
SSLCompression off

SSLEngine on
SSLCertificateFile /etc/httpd/ssl/site.com.crt
SSLCertificateKeyFile /etc/httpd/ssl/site.com.key
SSLCertificateChainFile /etc/httpd/ssl/DigiCertCA.crt
</VirtualHost>

一切正常,通过测试安全性也可以。 (https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp

问题:我正在尝试为Opencart 2安装支付模块(REDSYS).Redsys支持团队没有激活支付模块,因为他们要求我在下面添加一个SSLCipherSuite:

SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, SSL_RSA_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_AES_256_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA

目前所有SSLCipherSuite都以TLS开头... :(那么如何使用SSL_RSA添加其中一个SSLCipherSuite ... ???希望有人知道SSL并且会有所帮助......

1 个答案:

答案 0 :(得分:1)

根据您的配置,您已拥有此类密码套件。例如,您已包含AES256-SHA,它与TLS_RSA_WITH_AES_256_CBC_SHA相同。并且SSL_前缀而不是TLS_前缀只是旧时代的惯例,其中TLS被称为SSL(即TLS 1.0实际上是SSL 3.1)。

您对TLS 1.1和TLS 1.2的限制更有可能导致问题,因为它们要求您使用此类旧密码甚至无法处理ECDHE密码可能表明他们有一个非常老的客户端无法使用说TLS 1.1或TLS 1.2。

当然,也可能是您在服务器配置的其他(即未显示)部分中包含了不同的密码,这些部分优先。要获取有关您的服务器真正支持的密码类型的信息,请使用SSLLabs检查您的网站。

<小时/> 编辑:analysis by SSLLabs非常清楚地显示TLS_RSA_WITH_AES_256_CBC_SHA(与SSL_RSA_WITH_AES_256_CBC_SHA或AES256-SHA相同)在服务器上按要求启用。如果我的假设是正确的,真正的问题是他们使用的是一个不会说TLS 1.1或TLS 1.2的旧客户端。在这种情况下,您可以更改支持的协议版本的配置以允许TLS 1.0:

SSLProtocol all -SSLv3

使用此配置支持TLS 1.0和更好(即TLS 1.1,TLS 1.2)。