我有一个 xxx-ssl.conf 配置,/etc/apache2/sites-available/其中包含以下 SSL 选项:
SSLEngine on
SSLCertificateFile /var/www/ssl/webserver_cert.der
SSLCertificateKeyFile /var/www/ssl/webserver.key
SSLCipherSuite NULL-SHA
密钥文件和证书文件已就位。虚拟主机 (xxx-ssl.conf) 已使用 a2ensite 命令启用。Apache 服务器已重新加载。不幸的是,它无法启动 - 错误日志显示以下内容:
[debug] ssl_engine_init.c(608): Configuring permitted SSL ciphers [!aNULL:!eNULL:!EXP:NULL-SHA]
[error] Unable to configure permitted SSL ciphers
[error] SSL Library Error: 151441516 error:0906D06C:PEM routines:PEM_read_bio:no start line Bad file contents or format - or even just a forgotten SSLCertificateKeyFile?
[error] SSL Library Error: 151441516 error:0906D06C:PEM routines:PEM_read_bio:no start line Bad file contents or format - or even just a forgotten SSLCertificateKeyFile?
[error] SSL Library Error: 336646329 error:1410D0B9:SSL routines:SSL_CTX_set_cipher_list:no cipher match
在其他配置文件中我也有以下密码:
SSLCipherSuite NULL-MD5
SSLCipherSuite NULL-SHA
SSLCipherSuite EXP-DES-CBC-SHA
而且它们也不起作用。不过我有一些可以工作的配置(比如SSLCipherSuite DES-CBC-SHA)。
此外,当我尝试运行时openssl ciphers -s出现以下错误:
Error in cipher list
3073530056:error:1410D0B9:SSL routines:SSL_CTX_set_cipher_list:no cipher match:ssl_lib.c:1312:
Apache 和 OpenSSL 更新之前一切都运行良好。
我使用 Ubuntu 12.04 LTS。
阿帕奇:
Server version: Apache/2.2.22 (Ubuntu)
Server built: Jul 15 2016 15:32:38
OpenSSL:
OpenSSL 1.0.1 14 Mar 2012
有人能指导我找出到底发生了什么吗?谢谢!
答案1
我不知道你想用这个密码套件做什么
SSLCipherSuite NULL-MD5
SSLCipherSuite NULL-SHA
SSLCipherSuite EXP-DES-CBC-SHA
因为这些非常不安全。请咨询https://mozilla.github.io/server-side-tls/ssl-config-generator/以获得有用且安全的配置。
以下错误消息还表明您的证书和/或私钥的格式不正确:
[error] SSL Library Error: 151441516 error:0906D06C:PEM routines:PEM_read_bio:no start line Bad file contents or format - or even just a forgotten SSLCertificateKeyFile?
如果文件的扩展名是格式的指示,这可能与此处的设置有关,因为看起来您使用的是(二进制)DER格式而不是所需的(文本)PEM格式:
SSLCertificateFile /var/www/ssl/webserver_cert.der
Apache 和 OpenSSL 更新之前一切都运行良好。
我对此表示怀疑。也许它确实在工作,但我怀疑它是否工作正常。也许你之前没有意识到你的配置有多不安全。