Apache-无法启用TLS 1.0或TLS 1.1

Question

我被要求在CentOS 6上运行的Apache 2.2 Web服务器上为Rails应用启用TLS 1.0和1.1，以支持较旧的浏览器。 目前，我有以下内容：

/etc/httpd/conf.d/virt-00.conf：

<VirtualHost 127.0.0.1:443>
  ServerName subdomain.domain.com
  Include conf/ssl-bits.conf
  ...
</VirtualHost>
...

/etc/httpd/conf/ssl-bits.conf：

TransferLog logs/ssl_access_log
LogLevel warn
SSLEngine on
SSLProtocol -SSLv2 -SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite DEFAULT:!EXP:!SSLv2:!SSLv3:!RC4:!DES:!IDEA:!SEED:+3DES
SSLCertificateFile /etc/httpd/conf.d/star_domain.crt
SSLCertificateKeyFile /etc/httpd/conf.d/domain.key
SSLCACertificateFile /etc/httpd/conf.d/DigiCertCA.crt
<Files ~ "\.(cgi|shtml|phtml|php3?)$">
    SSLOptions +StdEnvVars
</Files>
CustomLog logs/ssl_request_log \
          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

据我所知，“ + TLSv1 + TLSv1.1”应该是我打开TLS 1.0和1.1所需要的，但是当我尝试在关闭TLS 1.2和TLS 1.0和1.1的情况下使用MSIE访问页面时，关于它告诉我：

此页面无法显示

在“高级”设置中打开TLS 1.0，TLS 1.1和TLS 1.2，然后尝试再次连接到https://subdomain.domain.com 。 如果此错误仍然存​​在，则可能是该站点使用了不受支持的协议。 请联系网站管理员。

Qualys SSL服务器测试确认未打开TLS 1.0和1.1。 SSL请求日志未显示任何内容。 我只能认为这与SSLCipherSuite或它在子域中有关。 我已经尝试了SSLProtocol的几种不同组合，例如“ + all -SSLv2 -SSLv3”。

Answer 1

似乎TLS 1.0和1.1需要我不允许的SSLv3密码。 只需从SSLCipherSuite指令中删除该内容即可解决此问题。

Answer 2

我不认为Apache2.2（而过时的）可以启用tls1.2协议。

但是，如果我错了，我建议注释您提供的ssl-bits.conf内容，并将所有内容粘贴到VirtualHost中，然后将LogLevel warn更改为LogLevel debug以便您可以在apache引擎期间看到实际的错误消息（如果有）。重新加载。 如果那不能解决问题，请让我知道重新启动过程中的整个错误（或最后10行error.log ）