之前文章写了用zabbix自动发现功能,自动监控服务器上所有域名的SSL证书到期时间,文章分别是简单脚本监控SSL证书到期时间和配置zabbix自动发现实现自动监控服务器所有域名SSL证书到期时间,有兴趣的可以看下
然后有小伙伴说它用的过程中,获取证书到期时间的脚本执行报错
如图,报错结果很明显,就是ssl握手失败,协议是sslv3
获取ssl证书信息的脚本中,是通过SSL.Context构建上下文对象的,指定使用TLSv1,但是报错是sslv3
于是我在本地测试,我本地是没有问题的,我在脚本中添加输出链接协议版本
然后输出协议确实是使用了TLSv1,这里get_protocol_version返回就是int型,769是tlsv1
于是,我让小伙伴把域名发我,我用脚本执行,报同样的错误
在执行do_handshake,握手的时候就报错了,所以也没有输出建立连接的协议版本,没办法,只能抓包看了
抓到包,wireshark分析,客户端client hello之后,就没有协商成功,关于ssl握手的话,之前也写过一篇文章Wireshark抓包帮你理清https请求流程,如果有兴趣,可以看看
这里分析客户端的这个client hello的包,查看加密套件
又问小伙伴要了nginx配置的加密套件
可以看到,和客户端的加密套件不匹配,所以这就是为什么握手不成功的原因,可以看到,小伙伴的加密套件设置的太严格了,所以我让他重新配置了加密套件,果然没有问题,可以正常建立连接
这里除了抓包,还可以通过openssl工具来建立连接,查看整个连接过程,比如通过openssl s_client -connect xxx.com:443(这里端口要带,或者可以-h查看使用方法)
另外说一下nginx中加密套件的配置,nginx中的加密套件是通过ssl_ciphers指令指定的,加密套件格式通常就是以‘:’分隔,然后写在一行,一条加密套件包含哪些内容呢?
拿我让小伙伴配置的这条来说:ECDHE-RSA-AES128-GCM-SHA256
ECDHE:私钥交换算法
RSA:签名算法
AES128:对称加密算法
GCM-SHA256:签名算法
通常的加密套件就包含这几部分
后面的这部分HIGH:!aNULL:!MD5:!RC4:!DHE
这部分是加密套件的一些宏定义,就是一个字符串,代表一类型加密套件,openssl的ciphers可以查看加密套件,我们拿HIGH来看下
为了整齐,我用column列了一下,可以看到HIGH代表的一类型加密套件,有加密套件详细的版本号,和分开的几部分算法
所以这里HIGH代表的就是高级的加密套件,也就是密钥长度大于128位的,在openssl的ciphers中,还有MEDIUM和LOW,但是LOW等已经在openssl 1.0.2g中禁用了,更多的关于ciphers的信息可以查看openssl官方文档https://www.openssl.org/docs/man1.0.2/man1/ciphers.html
总结,在nginx配置中,如果是普通服务,尽量不要配置特别严格的加密套件,避免出现加密套件不匹配,不兼容低版本的客户端
1304
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
