在https协议中请求nginx服务器时握手失败

Posted 2021-05-05

我遇到了https请求的问题。问题是我正在配置nginx服务器以接受来自Windows计算机上的应用程序的https请求但无法连接到服务器。以下是有关wireshark的一些信息：

Windows应用程序请求：

来自server1的响应：

还有另一个服务器响应：

服务器上的nginx版本是1.12.2，openssl版本是1.0.1f。 Nginx配置如下：

ssl_certificate /etc/nginx/cert/cert.pem;
ssl_certificate_key /etc/nginx/cert/cert.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;

有关https://www.ssllabs.com/ssltest/analyze.html的server1的信息：

由于我没有在服务器TLSv1.0中找到任何客户端的密码套件，如“TLS_RSA_WITH_3DES_EDE_CBC_SHA”。我想知道问题是否发生在语言或软件之间的区别。

顺便说一下，除了关于server2的请求url之外，我没有其他信息，我的目标是部署server1来接受来自windows客户端的请求。

任何人都可以提出一些建议来解决问题或提供一些线索吗？非常感谢！

答案

我终于找到了问题的原因。出现此问题是因为默认情况下nginx 1.12.2不支持周ssl密码。而基于不同版本的Windows操作系统（如XP）的客户端应用程序提供了有限的密码套件，如TLS_RSA_WITH_3DES_EDE_CBC_SHA和TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA。这些密码套件的安全性很差。 IE8浏览器中出现同样的问题。 IE8有时无法访问较新的网站。

我的解决方案是使用一些额外的参数重新编译nginx：

安装依赖 sudo apt-get install build-essential libpcre3 libpcre3-dev zlib1g-dev unzip git

下载nginx wget -c https://nginx.org/download/nginx-1.12.2.tar.gz tar zxf nginx-1.12.2.tar.gz

检查openssl版本 dpkg -s openssl

检查openssl对3DES的支持 openssl ciphers -v "3DES"

下载openssl源代码openssl> = 1.1.0默认情况下不支持3DES wget -O openssl.zip -c https://github.com/openssl/openssl/archive/OpenSSL_1_0_1f.zip unzip openssl.zip mv openssl-OpenSSL_1_0_1f/ openssl

编译并安装nginx cd nginx-1.12.2 ./configure --with-openssl=../openssl --with-http_ssl_module --with-openssl-opt='enable-weak-ssl-ciphers' make sudo make install

通过一些ssl配置，服务器能够支持使用3DES密码套件的https请求。

谢谢！