Вопрос: SSL-партнер не смог согласовать допустимый набор параметров безопасности


Я следовал разделу 1B это руководство создать сертификат и подписать его самостоятельно и настроить Apache для использования этого сертификата, но всякий раз, когда я пытаюсь безопасно просматривать мой сайт, Firefox выплевывает эту ошибку:

Не удалось установить безопасное соединение

При подключении к animuson.com произошла ошибка.

SSL получил запись, которая превысила максимально допустимую длину.

(Код ошибки: ssl_error_rx_record_too_long)

Сначала я попробовал это с 4096. Затем вместо использования 4096, который находится в руководстве, я вместо этого использовал 1028 (что я считал нормальным размером для использования). Я использую APache2 на CentOS 5 ...

Из «/etc/httpd/conf/extra/httpd-ssl.conf» (сжатые вместе, конечно):

Listen 443
SSLEngine On
SSLCertificateFile "/etc/httpd/conf/ssl/server.crt"
SSLCertificateKeyFile "/etc/httpd/conf/ssl/server.key"

Есть идеи?

РЕДАКТИРОВАТЬ

Я переместил мили из своих каталогов ssl.key и ssl.crt по умолчанию, и я сделал что-то еще, что я не помню, что, казалось, сработало. Он начал показывать страницу «Добавить исключение», и я установил корневой сертификат на мой браузер, теперь он отображает следующую ошибку:

Не удалось установить безопасное соединение

При подключении к animuson.com произошла ошибка.

SSL-партнер не смог согласовать приемлемый набор параметров безопасности.

(Код ошибки: ssl_error_handshake_failure_alert)

Я не знаю, что это значит или какая информация вам может понадобиться, чтобы помочь мне с этим.


6
2017-07-02 18:25


Источник


Возможно, это было проще, если вы не сжали конфигурацию. У вас есть настройка VirtualHost: 443? - andol
Возможно, вы используете http на порту https. Проверьте с помощью nc или telnet. - Tobu
Что-то еще происходит в вашей конфигурации SSL-мудрый? Это сообщение исходит от SSL_ERROR_HANDSHAKE_FAILURE_ALERT (как видно из openssl s_client -connect [...]). У тебя есть SSLVerifyClient, что-то фанки с SSLCipherSuite, и т.д? - medina


Ответы:


Большой! Поэтому, чтобы быть ясным, вы были в точке, где ошибка была SSL_ERROR_HANDSHAKE_FAILURE_ALERT, Один хороший способ исследования - это

openssl s_client -state -debug -showcerts -verify 0 -connect example.com:443

(и всевозможные полезные опции), и вы были достаточно полезны, чтобы предоставить фактическое имя сервера.

Ошибка установления связи связана с ошибкой во время SSL / TLS рукопожатие, Мы получили сертификат очень хорошо, что привело меня к предположению, что проблема была либо что-то не в ответ на CertificateRequest с сервера, или что-то напуганное с набором шифров. Последняя проблема имеет свой собственный набор сообщений об ошибках, теперь я думаю об этом больше. Фирефокса Коды ошибок NSS и SSL здесь удобно.

SSLVerifyClient require в конфигурации Apache действительно потребует, чтобы клиент представил действительный сертификат для аутентификации на сервере, что было проблемой по мере подтверждения.


3
2017-07-03 11:24



Благодаря @medina выше, по какой-то причине для SSLVerifyClient было установлено требование вместо none (по умолчанию). Я просто прокомментировал эту строку и начал работать. Я совсем не разбираюсь в материалах OpenSSL, поэтому я не знал, какие настройки даже смотреть на это. Еще раз спасибо. :) - animuson♦


веб-сервер, скорее всего, требует от клиента аутентификации ... на сервере apache он находится в httpd.conf .... «SSLVerifyClient требует» это требует, чтобы вы загрузили «Ваш сертификат» в Firefox ... И загрузили цепи сертификатов CA.

проблема в том, что сертификаты персонального или CA-сервера

не может быть привязана к целям СА.   может истек.   может быть поврежден.

попробуй  переименовать личный сертификат  реимпортировать все CA, указанные в личном сертификате

КАК Инструменты, параметры, шифрование, просмотр сертификатов Ваши сертификаты .... Импортируйте сертификат из файла PKCS12 * .p12 Серверы, Импорт, сертификация файлов * .cer вам может понадобиться несколько из них в зависимости от цепи


1
2017-07-30 14:35