Tls升级-将tls从1.0升级到1.2

最新推荐文章于 2024-02-26 11:06:30 发布
最新推荐文章于 2024-02-26 11:06:30 发布
阅读量4.2w 收藏 24
点赞数 2
分类专栏: ssl linux 文章标签: nginx openssl tls
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1368783069/article/details/85064682
版权
linux 同时被 2 个专栏收录
37 篇文章 0 订阅
订阅专栏
ssl
2 篇文章 0 订阅
订阅专栏

背景: 某人在开发微信小程序时,调用测试环境的https接口,该接口由nginx提供代理服务,报错,说是不支持tls1 ,需要升级到tls1.2

环境: Ubuntu 16.04.5 LTS

查看ssl版本

1 cmd

openssl s_client -connect domain:443 -tls1 (-tls1_1, -tls1_2)
其中domain 表示nginx 域名配置中使用https的域名,以上命令可以查看,目前nginx支持的tls版本。

2 chrome

依次打开: 右键->审查(inspect) ->安全(security)。

然后在当前页面访问配置的域名。然后 安全(security) 下点击要查看的域名,即可在右侧的连接中的协议下,看到 tls 版本号。
在这里插入图片描述

升级操作总共分三步:
1 升级openssl 2 重新编译nginx (这一步可以尝试不操作,因为自己看openssl是以动态库的方式使用,但是自己没有试过跳过这一步) 3,修改配置文件

1 升级安装openssl

常见的比较方便的做法是使用系统的软件管理工具, 比如 apt, yum等。具体做法,可以在网上找资料。
此处还是使用源码手动安装:

下载openssl

在官网下载相应源码, https://www.openssl.org/source/

解压后安装

./config 
make
sudo make install

默认的安装目录:

/usr/local/ssl/bin/openssl
/usr/local/ssl/include/openssl

所以现在可以查看你安装的openssl 版本:

/usr/local/ssl/bin/openssl version -a

创建软连接

依次执行以下操作

mv /usr/bin/openssl /usr/bin/openssl.old
mv /usr/include/openssl /usr/include/openssl.old
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl/ /usr/include/openssl

然后

sudo vim /etc/ld.so.conf

/usr/local/ssl/lib 添加到上面文件中,报错退出,然后通过以下命令,可以看到自己安装的openssl版本号。

openssl version -a

2 nginx 重编译

由于之前别人是使用apt之间安装的nginx,当然可以直接重新编译生成nginx,然后替换 sbin/nginx,即可,具体实现,参见我之前文章,
给网站添加ssl证书(https)https://blog.csdn.net/a1368783069/article/details/80719768 中的 nginx 安装ssl模块 方法。
个人建议安装nginx使用手动编辑安装。
从官网下载nginx源码。解压文件,使用默认安装。

./configure
make
sudo make install

执行 sudo /usr/local/nginx/sbin/nginx 会提示没有安装与ssl 相关的modules, 则重新编译nginx

1、 生成文件 进入nginx安装文件目录,执行:

./configure --with-http_ssl_module
make
1 2 2、 替换nginx
首先关闭nginx服务(很重要)
在nginx安装文件目录下面,会生成一个 objs 目录,将 objs/nginx替换
/usr/local/nginx/sbin/nginx(两者都是nginx的可执行文件)。 重启nginx服务就行。
/usr/local/nginx/sbin/nginx -s reload

以上的操作,主要是理解nginx这种更新操作过程。
如果想一步到位,安装nginx,检测环境的时候,可以直接

./configure --with-http_ssl_module
make
sudo make install

3 更改nginx 配置文件

原来的配置文件中,
对ssl的设置时

ssl_protocols  TLSv1 TLSv1.1 TLSv1.2 ;

所有配置文件中的 ssl_protocols 都改为(有的会配置多个网站,每个都需要改):

ssl_protocols   TLSv1.2 TLSv1.1 TLSv1 ;

或者只保留 TLSv1.2 。
一般,可以检测配置文件是否有问题

/usr/local/nginx/sbin/nginx   -t

然后查看ssl 版本号。

其他

查看nginx安装使用的配置,以及添加的模块

nginx -V

参考文章:
为CentOS升级OpenSSL 让Nginx支持TLS 1.2
https://www.sunbloger.com/2016/12/26/543.html

nginx 配置TLS1.2无效总是TLS1.0 https://blog.csdn.net/wanderstarrysky/article/details/53336129

面向未来的历史
关注
  • 2
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TLS1.0升级1.2.reg
12-13
TLS1.0升级1.2.reg;双击注册表调整后需要重启服务器方可生效!
Win2008 IIS TLS1.0升级TLS1.2TLS1.3
zhengjuqiang的博客
07-06 1415
如果低于这个版本,在小程序发布时,就会有醒目的提示。比如为TLS1.0,告诉你对应的服务器TLSTLS1.0。第三步 把 TSL1.2.reg上传到服务器的任何地方,在双击文件,提示导入注册表,点击确定,系统会自动导入注册表。如果是开发网站,而使用的TLS 1.0,则直接打开不网站,也没有醒目的提示,你很难知道问题所在,总以为是SSL安装失败了,其实是TSL版本太低了。目前拥有TLS协议版本:SSL2.0、SSL3.0、TLS1.0TLS1.1、TLS1.2TLS1.3(最新)。
修改HTTPS加密协议TLS1.0TLS1.2
weixin_30724853的博客
08-13 2722
一:首先为什么要改为TLS1.2 因为各大浏览器相继发布声明将停止支持 TLS 1.0TLS 1.1 https://www.cnblogs.com/jpush88/p/9846047.html 二:下载windows服务器安全管理工具 IISCrypto 链接: https://pan.baidu.com/s/1cWiRKpMsRfJ07nHVhhcXdw 提取码: ...
TLS1.2抓包解析
最新发布
weixin_43894455的博客
02-26 1014
RSA 密钥协商算法「不支持」前向保密,ECDHE 密钥协商算法「支持」前向保密;使用了 RSA 密钥协商算法,TLS 完成四次握手后,才能进行应用数据传输,而对于 ECDHE 算法,客户端可以不用等服务端的最后一次 TLS 握手,就可以提前发出加密的 HTTP 数据(其实是之前发送的数据的摘要),节省了一个消息的往返时间;使用 ECDHE, 在 TLS 第 2 次握手中,会出现服务器端发出的「Server Key Exchange」消息,而 RSA 握手过程没有该消息。
xp添加对TLS1.1和TLS1.2的支持
06-06
补丁安装完之后还要重启系统修改注册表等操作,注意看文档
SSL TSL证书1.2版本升级.zip
03-03
微信小程序开发工具,报错“对应的服务器 TLSTLS 1.0 ,小程序要求的 TLS 版本必须大于等于 1.2 ”,在部署了SSL证书的服务器上执行此注册升级文件,然后重启服务器(重启很重要)。
TLS版本过时,升级方法
baidu_27521153的博客
08-05 6403
1.访问页面提示TLS版本过时 原因: 这并不是心血来潮,而是准备已久的决定。 早在2018 年 10 月,春季TLS 1. 3 版本发布之后,苹果、谷歌、Mozilla和微软四大浏览器制造商便已联合宣布计划在 2020 年初取消对TLS 1. 0 和TLS 1. 1 的支持。 所以需要对TLS进行升级,以便浏览器能正常访问。 2.解决方法 备份:找到nginx配置文件nginx.conf。或者直接备份ssl_protocols SSLv2 SSLv3 TLSv1; #ssl_proto...
TLS协议版本低
夜行者的博客
02-18 5716
检测方法: 使用nmap进行扫描,命令如下:nmap-sV--script ssl-enum-ciphers -p 443 x.x.x.x,若出现以下所示图片,则存在漏洞 解决方法(强制使用TLS1.2协议): 1.weblogic在weblogic的setDomainEnv.sh中增加限制参数-Dweblogic.security.SSL.minimumProtocolVersion=TLSv1.2 2.Nginxnginx配置文件中增加配置:ssl_protoc...
解决微软账户登录失败需要TLS 1.2的问题
El Chico, El Programador, El Expatriado
02-22 1568
后来,我在外国论坛上发现了一篇文章,解决了我的问题。原来问题的关键在于注册表的配置。显示我的TLS版本过低已经被弃用。我在网上找到了许多关于启用TLS 1.2、1.3等安全特性的方法,大多数人建议打开控制面板,选择“Internet选项”,再在“高级”选项卡中勾选TLS 1.2、1.3这几个复选框。但是在我的情况下,这些选项是灰色的,而且底部提示“某些选项由系统管理员管理”,无法勾选。接下来,再回到“Internet选项”的“高级”选项卡,勾选TLS 1.1至1.3,并重新启动计算机,问题得以解决。
TLS1.0、1.1、1.2、1.3
08-13
RFC文档, 安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。
Windows Server 2008 R2下配置启用开通TLS1.2支持,注册表一键导入1秒开通(微信小程序开发必下)
11-28
1秒速开通:Windows Server 2008 R2 下配置启用开通TLS1.2,想必在做微信小程序时,你肯定遇到了TLS1.2的强制要求,那么你就下载这个注册表导入文件就行了,一键运行,重启服务器后生效,我已经应用到了几十台服务器上了,完美,2008操作系统64位的。
在Windows服务器上启用TLS 1.2TLS 1.2基本原理介绍
01-11
首先在这个网站上测试一下自己的服务器究竟处于什么水平。 https://www.ssllabs.com/ssltest/ 测试结果显示是支持SSL3.0的并且不支持TLS 1.2。证书使用SHA1签名算法不够强。这点比较容易接受,因为Windows服务器默认并没有开启TLS1.2。 要提高服务器的评级,有3点需要做。 使用SHA256签名算法的证书。 禁用SSL3.0,启用TLS1.2 禁用一些弱加密算法。 由于目前服务器使用的证书是近3年前购买的,正好需要重新购买,顺便就可以使用SHA256签名算法来买新的证书就可以了。在生产环境部署之前,先用测试机测试一下。 根据这篇文章中的3条命令把证书
cannot find -l****
热门推荐
面向未来的历史
07-02 3万+
环境: centos7 64bit 背景: 安装完python3.7 后,使用pip3 安装包,报错 cannot find -lstdc++ 解释: 一般出现 cannot find -l****, 是因为相应的 相应为库有问题,所以要安装该库 或者 更新版本。 在本例子中,是因为系统没有安装 stdc。 解决方法: sudo yum search stdc 列出结果如下...
QT creator的安装与使用 linux
面向未来的历史
06-01 1万+
系统信息:centos7 64bit 在centos上调试c++,可以用的工具很多,自己选择使用qt creator安装下载安装包 自己之前在英文版的官网下载时,按照回答它们的问题之后下载的是这个版本:qt-unified-linux-x64-2.0.3-online.run这不是 qt creator,关键是每次安装都是下载失败,后来在网上看别人的安装方法,发现自己下的不是正确的文件。
python中import cv2遇到的错误及安装方法
面向未来的历史
05-09 1万+
1 错误: ImportError: libXext.so.6: cannot open shared object file: No such file or directory 安装 yum install libXext.x86_64 2 错误 ImportError: libSM.so.6: cannot open shared object file: ...
rpmlib(PayloadIsLzma) <= 4.4.6-1 is needed
面向未来的历史
04-06 9618
环境: centos el5背景: 由于个人比较喜欢用软件的最新版本,在重新安装服务器上的 xdg-open(还有yum等) 时,在https://rpmfind.net/linux/rpm2html/search.php?query=xdg-utils下载最近的 xdg-utils-20160610-3.1.noarch.rpm, 安装rpm -ivh xdg-utils-20160610
TLS 1.0TLS 1.1怎么变更到TLS 1.2
05-23
要将TLS 1.0TLS 1.1变更到TLS 1.2,需要进行以下步骤: 1. 确认服务器和客户端都支持TLS 1.2协议。 2. 在服务器上禁用TLS 1.0TLS 1.1协议。 3. 在客户端上禁用TLS 1.0TLS 1.1协议。 4. 测试新协议是否正常工作。 在实际操作中,具体的步骤可能会因为不同的服务器和客户端而有所不同。但总的来说,变更到TLS 1.2需要服务器和客户端同时支持,并且需要禁用旧版本的TLS协议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值