Apache2 无法通过某些特定的 SSLCipherSuite 配置启动

Apache2 无法通过某些特定的 SSLCipherSuite 配置启动

我有一个 xxx-ssl.conf 配置,/etc/apache2/sites-available/其中包含以下 SSL 选项:

SSLEngine on  
SSLCertificateFile    /var/www/ssl/webserver_cert.der  
SSLCertificateKeyFile /var/www/ssl/webserver.key  
SSLCipherSuite NULL-SHA  

密钥文件和证书文件已就位。虚拟主机 (xxx-ssl.conf) 已使用 a2ensite 命令启用。Apache 服务器已重新加载。不幸的是,它无法启动 - 错误日志显示以下内容:

[debug] ssl_engine_init.c(608): Configuring permitted SSL ciphers [!aNULL:!eNULL:!EXP:NULL-SHA]
[error] Unable to configure permitted SSL ciphers
[error] SSL Library Error: 151441516 error:0906D06C:PEM routines:PEM_read_bio:no start line Bad file contents or format - or even just a forgotten SSLCertificateKeyFile?
[error] SSL Library Error: 151441516 error:0906D06C:PEM routines:PEM_read_bio:no start line Bad file contents or format - or even just a forgotten SSLCertificateKeyFile?
[error] SSL Library Error: 336646329 error:1410D0B9:SSL routines:SSL_CTX_set_cipher_list:no cipher match

在其他配置文件中我也有以下密码:

SSLCipherSuite NULL-MD5
SSLCipherSuite NULL-SHA
SSLCipherSuite EXP-DES-CBC-SHA

而且它们也不起作用。不过我有一些可以工作的配置(比如SSLCipherSuite DES-CBC-SHA)。

此外,当我尝试运行时openssl ciphers -s出现以下错误:

Error in cipher list
3073530056:error:1410D0B9:SSL routines:SSL_CTX_set_cipher_list:no cipher match:ssl_lib.c:1312:

Apache 和 OpenSSL 更新之前一切都运行良好。

我使用 Ubuntu 12.04 LTS。

阿帕奇:

Server version: Apache/2.2.22 (Ubuntu)
Server built:   Jul 15 2016 15:32:38

OpenSSL:

OpenSSL 1.0.1 14 Mar 2012

有人能指导我找出到底发生了什么吗?谢谢!

答案1

我不知道你想用这个密码套件做什么

SSLCipherSuite NULL-MD5
SSLCipherSuite NULL-SHA
SSLCipherSuite EXP-DES-CBC-SHA

因为这些非常不安全。请咨询https://mozilla.github.io/server-side-tls/ssl-config-generator/以获得有用且安全的配置。

以下错误消息还表明您的证书和/或私钥的格式不正确:

[error] SSL Library Error: 151441516 error:0906D06C:PEM routines:PEM_read_bio:no start line Bad file contents or format - or even just a forgotten SSLCertificateKeyFile?

如果文件的扩展名是格式的指示,这可能与此处的设置有关,因为看起来您使用的是(二进制)DER格式而不是所需的(文本)PEM格式:

SSLCertificateFile    /var/www/ssl/webserver_cert.der  

Apache 和 OpenSSL 更新之前一切都运行良好。

我对此表示怀疑。也许它确实在工作,但我怀疑它是否工作正常。也许你之前没有意识到你的配置有多不安全。

相关内容