让我们加密 ssl 证书在 TLS 握手中发送两次
[英]Let's Encrypt ssl certificate send twice in TLS handshake
问题描述
在进行 wireshark 跟踪以检查我们的服务器是否正确提供了我的 Let's Encrypt 证书时,我看到在“服务器您好完成”时,在 TLS 握手中将发送两次相同的证书。
这怎么会发生? 如何纠正?
证书详细信息是 2 倍完全相同:
请求的额外信息:我通过使用我的 Chrome 浏览器在 Fedora 25 客户端上访问我的 Apache 网络服务器(CentOS Linux 版本 7.4.1708(核心))的 https 页面,使用wireshark 进行跟踪。
虚拟主机配置:
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite HIGH:MEDIUM
SSLCertificateFile /etc/letsencrypt/live/my.domain.tld/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/my.domain.tld/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/my.domain.tld/fullchain.pem
不知道这是否重要,但我还有第二个 VirtualHost 具有不同的 Let's Encrypt 证书:
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite HIGH:MEDIUM
SSLCertificateFile /etc/letsencrypt/live/my2.domain.tld/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/my2.domain.tld/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/my2.domain.tld/fullchain.pem
1 个解决方案
解决方案1
0 已采纳 2019-10-31 18:31:31
问题
这是由SSLCertificateFile和SSLCertificateChainFile同时配置引起的。
来自mod_ssl 文档(重点是我的):
该指令设置可选的多合一文件,您可以在其中组合证书颁发机构 (CA) 的证书,这些证书构成服务器证书的证书链。 这从服务器证书的颁发 CA 证书开始,最高可达根 CA 证书。
但是,如果您检查fullchain.pem ,您会看到它在顶部包含服务器证书,然后是 Let's Encrypt 颁发的 CA。 Apache 正在传递SSLCertificateFile的内容,并在SSLCertificateChainFile连接SSLCertificateChainFile 。 由于您的服务器证书出现在它们两个中,因此它在 SSL 握手中看到的最终链中被复制,就像您在 Wireshark 中观察到的一样:
vhost.conf Sent To Client
+---------------+ +------------------+
| cert.pem |----------> |Server Certificate|
| | | + |
| + | +---> |Server Certificate|
| | | | + |
| fullchain.pem |----------> | CA Certificate |
+---------------+ +------------------+
修复
在现代 Apache 中,不再使用SSLCertificateChainFile指令,并将fullchain.pem直接提供给SSLCertificateFile 。
同样,来自mod_ssl 文档:
SSLCertificateChainFile 已弃用
SSLCertificateChainFile在 2.4.8 版中已过时,当时SSLCertificateFile被扩展为还从服务器证书文件加载中间 CA 证书。
所以你需要做的就是改变你的 vhost 配置:
SSLCertificateFile /etc/letsencrypt/live/my.domain.tld/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/my.domain.tld/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/my.domain.tld/fullchain.pem
对此:
SSLCertificateFile /etc/letsencrypt/live/my.domain.tld/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/my.domain.tld/privkey.pem
使用rustls访问时,使用Let's Encrypt证书的镍服务器发生握手错误
[英]Nickel server using Let's Encrypt certificate has a handshake error when accessed with rustls
通过 Let's Encrypt 在 digitalocean droplet 中为我的域获取 SSL 证书的问题
[英]Problem in getting SSL Certificate for my domain at digitalocean droplet through Let's Encrypt
无法使用 nginx (certbot) 将让我们加密 ssl 证书添加到域
[英]Unable to add Let's encrypt ssl certificate to domains using nginx (certbot)
为什么在银行端 http 对我的 heroku 资源的请求引发异常,其中 ssl 证书通过 Let's encrypt
[英]Why the exception is raised on the bank-side http request to my heroku resource with ssl certificate by Let's encrypt
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
让我们在子域上加密SSL证书
更新 Let's Encrypt SSL 证书 - Plesk
如何配置“让我们加密”的ssl_trusted_certificate?
让我们使用NO SNI加密证书
让我们用 Docker 加密证书
使用rustls访问时,使用Let's Encrypt证书的镍服务器发生握手错误
让我们加密证书颁发
通过 Let's Encrypt 在 digitalocean droplet 中为我的域获取 SSL 证书的问题
无法使用 nginx (certbot) 将让我们加密 ssl 证书添加到域
为什么在银行端 http 对我的 heroku 资源的请求引发异常,其中 ssl 证书通过 Let's encrypt
相关标签