如何强制“OpenConnect”客户端使用 TLS 1.0

Posted 2023-03-24

【中文标题】如何强制“OpenConnect”客户端使用 TLS 1.0

【英文标题】：How to force 'OpenConnect' client to use TLS 1.0

【发布时间】：2020-09-03 04:07:28

【问题描述】：

我在 Red Hat Enterprise Linux 8.1 (Ootpa) 上使用“OpenConnect v8.05 版”来连接服务器。 服务器只接受 SSLv3、TLSv1.0 密码，我无权访问服务器进行安全更新/升级。 当我尝试连接时：

 [root@RHEL8 ~]# openconnect --authenticate XXX.XXX.XXX.XXX:443 -status -msg -debug   
 MTU 0 too small  
 POST https://XXX.XXX.XXX.XXX/  
 Connected to XXX.XXX.XXX.XXX:443  
 SSL negotiation with XXX.XXX.XXX.XXX  
 SSL connection failure: A packet with illegal or unsupported version was received.  
 Failed to open HTTPS connection to XXX.XXX.XXX.XXX  
 Failed to obtain Web*** cookie

我已通过更改以下方式更改了 OpenSSL Min SSL 协议：

/etc/crypto-policies/back-ends/opensslcnf.config MinProtocol = TLSv1.0

现在我可以使用“openssl s_client -connect”与服务器握手。但是 openconnect 客户端还不能连接到服务器。

如何强制它使用 TLS 1.0？

【参考方案1】：

我已经在他们的社区问题跟踪器上提交了an issue 并获得了有用的信息。 如维护者所述，可以允许与任何高于 8.05 的版本（目前在 rpm 存储库中不可用）进行这种不安全的连接：

$ ./openconnect --gnutls-priority "NONE:+VERS-SSL3.0:+VERS-TLS1.0:%NO_EXTENSIONS:%SSL3_RECORD_VERSION:+3DES-CBC:+ARCFOUR-128:+MD5:+SHA1:+COMP-ALL:+KX-ALL"  ***