所有 LDAP 流量均通过 TLSv1.1 发送,而不是 TLSv1.2

所有 LDAP 流量均通过 TLSv1.1 发送,而不是 TLSv1.2

我有一台 kvm 服务器,Centos 6.6 主机,带有 6.6 个客户机。我们运行一个基于 php 的 Web 应用程序,该应用程序使用 LDAP 身份验证来为我们的客户提供服务。我们刚刚将一个客户端移至此设置,他们报告说所有 ldap 流量都使用 TLS v1.1 发送,而不是像以前那样使用 TLS v1.2。我已验证旧设置和新设置之间的 OpenSSL 和 OpenLDAP 版本相同。我到处寻找,似乎找到了原因。虚拟机都位于私有 IP 上,并通过 NAT 规则和 Nginx 上游指令共享公共 IP。

有人知道为什么流量突然变成 v1.1 吗?

链接的 OpenSSL 版本:

  • 主持人:libssl.so.10 => /usr/lib64/libssl.so.10
  • 客人:libssl.so.10 => /usr/lib64/libssl.so.10
  • Nginx的:built with OpenSSL 1.0.1e-fips

答案1

在我们的案例中,答案是强制 php 在文件中使用 tls v1.2 php.ini

crypto_method = STREAM_CRYPTO_METHOD_TLSv1_2_SERVER

相关内容