我有一台 kvm 服务器,Centos 6.6 主机,带有 6.6 个客户机。我们运行一个基于 php 的 Web 应用程序,该应用程序使用 LDAP 身份验证来为我们的客户提供服务。我们刚刚将一个客户端移至此设置,他们报告说所有 ldap 流量都使用 TLS v1.1 发送,而不是像以前那样使用 TLS v1.2。我已验证旧设置和新设置之间的 OpenSSL 和 OpenLDAP 版本相同。我到处寻找,似乎找到了原因。虚拟机都位于私有 IP 上,并通过 NAT 规则和 Nginx 上游指令共享公共 IP。
有人知道为什么流量突然变成 v1.1 吗?
链接的 OpenSSL 版本:
- 主持人:
libssl.so.10 => /usr/lib64/libssl.so.10 - 客人:
libssl.so.10 => /usr/lib64/libssl.so.10 - Nginx的:
built with OpenSSL 1.0.1e-fips
答案1
在我们的案例中,答案是强制 php 在文件中使用 tls v1.2 php.ini:
crypto_method = STREAM_CRYPTO_METHOD_TLSv1_2_SERVER