Назад | Перейти на главную страницу

Узел SSL не смог согласовать приемлемый набор параметров безопасности

Я следил за разделом 1B это руководство чтобы создать сертификат и подписать его самостоятельно и настроить Apache для использования этого сертификата, но всякий раз, когда я пытаюсь безопасно просмотреть свой веб-сайт, Firefox выдает следующую ошибку:

Безопасное соединение не удалось

Произошла ошибка при подключении к animuson.com.

SSL получил запись, длина которой превышает максимально допустимую.

(Код ошибки: ssl_error_rx_record_too_long)

Сначала я попробовал с 4096. Затем, вместо того, чтобы использовать 4096, который указан в руководстве, я использовал 1028 (который, как я думал, был нормальным размером для использования). Я использую APache2 на CentOS 5 ...

Из "/etc/httpd/conf/extra/httpd-ssl.conf" (конечно, сжатых вместе):

Listen 443
SSLEngine On
SSLCertificateFile "/etc/httpd/conf/ssl/server.crt"
SSLCertificateKeyFile "/etc/httpd/conf/ssl/server.key"

Любые идеи?

РЕДАКТИРОВАТЬ

Я переместил мили из их каталогов ssl.key и ssl.crt по умолчанию и сделал кое-что еще, чего я не помню, что, похоже, сработало. Он начал показывать страницу «Добавить исключение», и я установил корневой сертификат в свой браузер, теперь он отображает следующую ошибку:

Безопасное соединение не удалось

Произошла ошибка при подключении к animuson.com.

Узел SSL не смог согласовать приемлемый набор параметров безопасности.

(Код ошибки: ssl_error_handshake_failure_alert)

Я понятия не имею, что это значит или какая информация может вам понадобиться, чтобы помочь мне с этим.

Большой! Итак, чтобы было ясно, вы были в той точке, где была ошибка SSL_ERROR_HANDSHAKE_FAILURE_ALERT. Один хороший способ исследовать - это

openssl s_client -state -debug -showcerts -verify 0 -connect example.com:443

(и всевозможные полезные опции), и вы были достаточно любезны, чтобы указать фактическое имя сервера.

Ошибка рукопожатия вызвана, ну, ошибкой во время SSL / TLS рукопожатие. Сертификат получен очень хорошо, что заставило меня предположить, что проблема заключалась либо в сбое в ответ на CertificateRequest с сервера или что-нибудь интересное с набором шифров. Последняя проблема имеет свой собственный набор сообщений об ошибках, когда я думаю о ней больше. Firefox Коды ошибок NSS и SSL здесь пригодится.

SSLVerifyClient require в конфигурации Apache действительно потребуется, чтобы клиент представил действительный сертификат для аутентификации на сервере, что было проблемой, как вы подтверждаете.

веб-сервер, вероятно, требует от клиента аутентификации ... на сервере apache он находится в httpd.conf .... "SSLVerifyClient require" для этого требуется, чтобы в Firefox был загружен "Ваш сертификат" ... И загружены цепочки сертификатов CA также.

проблема в том, что сертификаты Personal или CA Server

не может быть привязан к цепям CA. может быть истек. может быть поврежден.

попробуйте повторно импортировать личный сертификат повторно импортировать все ЦС, указанные в личном сертификате

HOWTO Инструменты, параметры, шифрование, просмотр сертификатов Ваши сертификаты .... Импортируйте сертификат из файла PKCS12 * .p12 Servers, Импортируйте, сертифицируйте файлы * .cer, вам может понадобиться несколько из них в зависимости от цепочки