版本

tag-icon tag-icon ssl svn http-status-code-408
版本

版本

颠覆:版本 1.6.11(r934486)

操作系统:CentOS 版本 6.8(最终版)

背景

我在 CentOS 机器上以 cronjobs 的形式运行了各种 shell 脚本。这些 shell 脚本将文件提交到 Subversion 并从 Subversion 中签出文件。今天,我的所有脚本都开始失败,并出现以下错误

svn:“https://svn.int.mydomain.edu/eas”的选项:SSL 握手失败:收到 SSL 警报:协议版本错误(https://svn.int.mydomain.edu

作为故障排除步骤,我运行了以下命令

openssl s_client -connect svn.int.mydomain.edu:443

并收到以下输出(略有删减)

CONNECTED(00000003)
---
Certificate chain
 0 s:/OU=Domain Control Validated/CN=*.int.mydomain.edu
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
 1 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
 2 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
 3 s:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
---
Server certificate
-----BEGIN CERTIFICATE-----
REDACTED
-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/CN=*.int.mydomain.edu
issuer=/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
---
No client certificate CA names sent
Server Temp Key: ECDH, prime256v1, 256 bits
---
SSL handshake has read 5545 bytes and written 373 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: REDACTED
    Session-ID-ctx: 
    Master-Key: REDACTED
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1618275549
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
HTTP/1.1 408 Request Time-out
content-length: 110
cache-control: no-cache
content-type: text/html
connection: close

<html><body><h1>408 Request Time-out</h1>
Your browser didn't send a complete request in time.
</body></html>
closed

如您所见,我HTTP/1.1 408 Request Time-out在标准输出的末尾得到了一个。我可以验证我有权访问https://svn.int.mydomain.edu在此盒子上,因为单独安装的 svn 在那个盒子上运行良好(带有 Jenkins 插件的 SVN 安装)。

问题

有人对这里的其他故障排除技术有什么想法吗?我尝试搜索此问题,但没有得到有用的回复。

答案1

408 响应只是因为 openssl 从未发送过 HTTP 请求。它进行了 TCP 连接和 SSL 握手,但仅此而已。

响应的重要部分是:

Protocol  : TLSv1.2
Cipher    : ECDHE-RSA-AES256-GCM-SHA384
Verify return code: 0 (ok)

0 (ok)部分的意思是,就 openssl 而言,SSL 连接正常。证书有效,并且至少支持一种密码和协议。

但是您的 bash 脚本发出的错误消息表明 SSL 连接不正常。我对此原因的最佳猜测是服务器已升级,现在不再支持 TLS 1.0 和 TLS 1.1,并且您的 bash 脚本用于 HTTPS 请求的任何内容都不支持 TLS 1.2。您可以通过-tls1在 openssl 命令中添加选项来对此进行测试。

如果结果不是这样0 (ok),那么 TLS 版本不兼容很可能就是问题所在。

问题也可能是可用密码不匹配。如果您仍然收到0 (ok)TLS 1.0 的请求,那么可能需要查看服务器和客户端上可用的密码。

可能还值得查看对服务器所做的最后更改或尝试升级客户端。(这是盲目的尝试,但有时这些方法有效......)

相关内容