我正在尝试将 Apache Trafficserver 设置为反向代理。(Debian Stretch、ATS 7.0.0(也尝试了来自反向移植的 7.1.2)、openssl 1.1.0f)
到目前为止一切都很顺利,直到我遇到了配置 TLS 的问题。我在 records.config 中为 SSL 添加了端口 443,设置了证书路径,创建了一个本地测试证书,我在 ssl_multicert.config 中将其定义为默认证书,还尝试摆弄 cipher_list。
但无论我使用哪个 cipher_list(用 # 注释掉,来自包的默认值,只有一个密码,所有密码均为 NULL),trafficserver 都不会在握手响应中给出单个密码。Firefox 给出“无密码重叠”结果,sslscan 给出以下输出:
user@host:~$ sslscan https://testats.mycompany.com
Version: 1.11.5
OpenSSL 1.0.2l 25 May 2017
OpenSSL version does not support SSLv2
SSLv2 ciphers will not be detected
OpenSSL version does not support SSLv3
SSLv3 ciphers will not be detected
Testing SSL server testats.mycompany.com on port 443
TLS renegotiation:
Session renegotiation not supported
TLS Compression:
OpenSSL version does not support compression
Rebuild with zlib1g-dev package for zlib support
Heartbleed:
TLS 1.2 not vulnerable to heartbleed
TLS 1.1 not vulnerable to heartbleed
TLS 1.0 not vulnerable to heartbleed
Supported Server Cipher(s):
user@host:~$
使用 sslscan 对 ATS 应该重新映射到的原始网络服务器进行的测试运行正常。
有任何想法吗?