在https协议中请求nginx服务器时握手失败

时间:2018-02-01 10:32:42

标签: ssl nginx https

我遇到了https请求的问题。问题是我正在配置nginx服务器以接受来自Windows计算机上的应用程序的https请求但无法连接到服务器。以下是关于wireshark的一些信息:

Windows应用程序请求: enter image description here

来自server1的响应: enter image description here

另一个server2响应: enter image description here

服务器上的nginx版本是1.12.2,openssl版本是1.0.1f。 Nginx配置如下:

ssl_certificate /etc/nginx/cert/cert.pem;
ssl_certificate_key /etc/nginx/cert/cert.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;

https://www.ssllabs.com/ssltest/analyze.html中有关server1的信息:

因为我在服务器TLSv1.0中找不到任何客户端的密码套件,如“TLS_RSA_WITH_3DES_EDE_CBC_SHA”。我想知道问题是否发生在语言或软件之间的差异。

顺便说一下,除了关于server2的请求url之外,我没有其他信息,我的目标是部署server1来接受来自windows客户端的请求。

有人可以提出一些建议来解决问题或提供一些线索吗?非常感谢!

1 个答案:

答案 0 :(得分:0)

我终于找到了问题的原因。出现此问题是因为默认情况下nginx 1.12.2不支持周ssl密码。并且基于不同版本的Windows OS(如XP)构建的客户端应用程序提供了有限的密码套件,例如TLS_RSA_WITH_3DES_EDE_CBC_SHATLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA。这些密码套件的安全性很差。 IE8浏览器中出现同样的问题。 IE8有时无法访问较新的网站。

我的解决方案是使用一些额外的参数重新编译nginx:

安装依赖项
sudo apt-get install build-essential libpcre3 libpcre3-dev zlib1g-dev unzip git

下载nginx
wget -c https://nginx.org/download/nginx-1.12.2.tar.gz tar zxf nginx-1.12.2.tar.gz

检查openssl版本
dpkg -s openssl

检查openssl对3DES的支持
openssl ciphers -v "3DES"

下载openssl源代码openssl> = 1.1.0默认情况下不支持3DES wget -O openssl.zip -c https://github.com/openssl/openssl/archive/OpenSSL_1_0_1f.zip unzip openssl.zip mv openssl-OpenSSL_1_0_1f/ openssl

编译并安装nginx
cd nginx-1.12.2 ./configure --with-openssl=../openssl --with-http_ssl_module --with-openssl-opt='enable-weak-ssl-ciphers' make sudo make install

通过一些ssl配置,服务器能够支持使用3DES密码套件的https请求。

谢谢!