我正在运行 Ubuntu=20.04 服务器 (Openssl=1.1.1t & nginx=1.21.6)。我允许 SSL 密码如下
cat nginx.conf | grep -i ssl_ciphers
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-CCM:ECDHE-ECDSA-AES128-CCM:AES256-GCM-SHA384:AES128-GCM-SHA256:CHACHA20-POLY1305-SHA256:TLS_AES_128_CCM_SHA256:TLS_AES_128_CCM_8_SHA256';
根据 openssl 的官方文档(参考:https://www.openssl.org/docs/man1.1.1/man1/ciphers.html) 支持密码 TLS_AES_128_CCM_SHA256 和 TLS_AES_128_CCM_8_SHA256。
当我尝试使用以下方式连接到目标机器时
# openssl s_client -connect 192.168.2.15:443 -ciphersuites TLS_AES_128_CCM_SHA256 -tls1_3
139638440334656:error:0200206F:system library:connect:Connection refused:../crypto/bio/b_sock2.c:110:
139638440334656:error:2008A067:BIO routines:BIO_connect:connect error:../crypto/bio/b_sock2.c:111:
connect:errno=111
我无法追踪我在这里实际上缺少什么。
答案1
TLS 1.3 密码无法使用 进行设置ssl_ciphers。需要使用 进行配置ssl_conf_command Ciphersuites:
ssl_conf_command Ciphersuites 'TLS_AES_128_CCM_SHA256:TLS_AES_128_CCM_8_SHA256';