我们的公司设有 nginx / 1.10.3(在Ubuntu 16.04上) 通过与另一家公司的Strongswan VPN在端口9002上进行 tls相互认证; csr是根据digicert nginx指南使用openssl生成的,并与客户公司的CA进行了自签名
tls握手似乎有效并且失败了,成功尝试了数十次。我设置了一个tcp转储,并且在失败期间,我只注意到一个客户端问候,而没有服务器问候,然后在重置套接字之前从客户端进行了一些重新传输。当我仅使用端口9002捕获时,在故障期间我不会注意到任何流量,直到将端口12120添加到过滤器中为止。没有来自服务器的确认。
没有成功请求的特定模式。我已经从服务器禁用了SSL验证,但是它仍然失败。可能是什么原因导致的?这是一个link to tcp dump,它同时具有成功(第3个)和失败(第102和109个),下面是nginx配置
服务器{
listen 9002 ssl;
server_name ******;
ssl_certificate /etc/ssl/******.crt;
ssl_certificate_key /etc/ssl/******.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 1h;
ssl_buffer_size 4k;
access_log /var/log/nginx/nginx.vhost.access_prod.log;
error_log /var/log/nginx/nginx.vhost.error_prod.log;
location /payments-prod {
proxy_pass http://*******;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_connect_timeout 150;
proxy_send_timeout 100;
proxy_read_timeout 100;
proxy_buffers 4 32k;
}
}