我正在尝试将 Nginx 配置为仅使用 TLS1.3 和 2 个密码:TLS-AES-256-GCM-SHA384:TLS-AES-128-GCM-SHA256。
所以,我尝试了这个配置:
ssl_protocols TLSv1.3;
ssl_ciphers TLS-AES-256-GCM-SHA384:TLS-AES-128-GCM-SHA256;
但是nginx -s reload出现错误
nginx: [emerg] SSL_CTX_set_cipher_list("TLS-AES-256-GCM-SHA384:TLS-AES-128-GCM-SHA256") failed (SSL: error:1410D0B9:SSL routines:SSL_CTX_set_cipher_list:no cipher match)", "operationName": "Default", "category": "Default"}
看起来我需要附加至少一个非 TLS1.3 密码才能使配置正常工作。我尝试了各种这样的组合,它们起作用了。其中之一是:
TLS-AES-256-GCM-SHA384:TLS-AES-128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384
为什么会这样呢?我认为发生这种情况是因为 OpenSSL 本身不接受原始的密码套件字符串。我正在使用 OpenSSL-1.1.1g。
root@2ed6cae6e062:/azure/appgw# openssl ciphers -v TLS-AES-256-GCM-SHA384:TLS-AES-128-GCM-SHA256
Error in cipher list
140686067873536:error:1410D0B9:SSL routines:SSL_CTX_set_cipher_list:no cipher match:ssl/ssl_lib.c:2558:
我遇到了一些有用的链接,但无法弄清楚如何实现我想要的 -仅使用 TLS1.3 ciphersuites。
https://forum.nginx.org/read.php?2,284909,284914#msg-284914
https://trac.nginx.org/nginx/ticket/1529
https://wiki.openssl.org/index.html php/TLS1.3#密码套件
| 归档时间: |
|
| 查看次数: |
13415 次 |
| 最近记录: |