У меня есть конфигурация xxx-ssl.conf в /etc/apache2/sites-available/ со следующими параметрами SSL в нем:
SSLEngine on
SSLCertificateFile /var/www/ssl/webserver_cert.der
SSLCertificateKeyFile /var/www/ssl/webserver.key
SSLCipherSuite NULL-SHA
Ключевые файлы и файлы сертификатов на месте. Виртуальный хост (xxx-ssl.conf) включается командой a2ensite. Сервер Apache перезагружен. К сожалению, он не запускается - журнал ошибок показывает следующее:
[debug] ssl_engine_init.c(608): Configuring permitted SSL ciphers [!aNULL:!eNULL:!EXP:NULL-SHA]
[error] Unable to configure permitted SSL ciphers
[error] SSL Library Error: 151441516 error:0906D06C:PEM routines:PEM_read_bio:no start line Bad file contents or format - or even just a forgotten SSLCertificateKeyFile?
[error] SSL Library Error: 151441516 error:0906D06C:PEM routines:PEM_read_bio:no start line Bad file contents or format - or even just a forgotten SSLCertificateKeyFile?
[error] SSL Library Error: 336646329 error:1410D0B9:SSL routines:SSL_CTX_set_cipher_list:no cipher match
В других файлах конфигурации у меня также есть следующие шифры:
SSLCipherSuite NULL-MD5
SSLCipherSuite NULL-SHA
SSLCipherSuite EXP-DES-CBC-SHA
и они тоже не работают. Однако у меня есть рабочая конфигурация (например, SSLCipherSuite DES-CBC-SHA).
Более того, когда я пытаюсь бежать openssl ciphers -s Я получаю следующую ошибку:
Error in cipher list
3073530056:error:1410D0B9:SSL routines:SSL_CTX_set_cipher_list:no cipher match:ssl_lib.c:1312:
До обновления Apache и OpenSSL все работало нормально.
Я работаю на Ubuntu 12.04 LTS.
Apache:
Server version: Apache/2.2.22 (Ubuntu)
Server built: Jul 15 2016 15:32:38
OpenSSL:
OpenSSL 1.0.1 14 Mar 2012
Может ли кто-нибудь провести меня через процесс выяснения того, что происходит? Спасибо!
Я понятия не имею, что вы пытаетесь сделать с этим набором шифров
SSLCipherSuite NULL-MD5
SSLCipherSuite NULL-SHA
SSLCipherSuite EXP-DES-CBC-SHA
потому что они ужасно небезопасны. Пожалуйста, проконсультируйтесь https://mozilla.github.io/server-side-tls/ssl-config-generator/ для удобной и безопасной конфигурации.
Также следующие сообщения об ошибках указывают на то, что ваш сертификат и / или закрытый ключ имеют неправильный формат:
[error] SSL Library Error: 151441516 error:0906D06C:PEM routines:PEM_read_bio:no start line Bad file contents or format - or even just a forgotten SSLCertificateKeyFile?
Если расширение файла является индикатором формата, это может быть связано с этой настройкой здесь, поскольку похоже, что вы используете (двоичный) формат DER вместо требуемого (текстового) формата PEM:
SSLCertificateFile /var/www/ssl/webserver_cert.der
До обновления Apache и OpenSSL все работало нормально.
Я в этом сомневаюсь. Возможно, это сработало, но я сомневаюсь, что все работало нормально. Возможно, вы раньше просто не осознавали, насколько небезопасна ваша конфигурация.