ssl - https协议(protocol)请求nginx服务器时握手失败

Question

我遇到了 https 请求的问题。问题是我正在配置 nginx 服务器以接受来自 Windows 计算机上应用程序的 https 请求，但无法连接到服务器。以下是wireshark的一些资料:

Windows 应用请求:

来自服务器 1 的响应:

服务器 2 的另一个响应:

服务器上的nginx版本是1.12.2，openssl版本是1.0.1f。 Nginx 配置如下:

ssl_certificate /etc/nginx/cert/cert.pem;
ssl_certificate_key /etc/nginx/cert/cert.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;

关于 server1 的信息来自 https://www.ssllabs.com/ssltest/analyze.html :

因为我在服务器 TLSv1.0 中找不到任何客户端的密码套件，如“TLS_RSA_WITH_3DES_EDE_CBC_SHA”。我想知道是否是导致问题发生的语言或软件之间的差异。

顺便说一句，除了有关 server2 的请求 url 之外，我没有更多信息，我的目标是部署 server1 以接受来自 Windows 客户端的请求。

谁能给点解决问题的建议或提供一些线索？非常感谢!

Answer 1

终于找到问题的原因了。出现这个问题是因为nginx 1.12.2默认不支持week ssl ciphers。而构建在不同版本的Windows操作系统(如XP)上的客户端应用程序提供了有限的密码套件，例如TLS_RSA_WITH_3DES_EDE_CBC_SHA和TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA。这些密码套件的安全性很弱。同样的问题出现在IE8浏览器中。 IE8 有时无法访问较新的网站。

我的解决方案是使用一些额外的参数重新编译 nginx:

安装依赖
sudo apt-get install build-essential libpcre3 libpcre3-dev zlib1g-dev unzip git

下载nginx
wget -c https://nginx.org/download/nginx-1.12.2.tar.gz
tar zxf nginx-1.12.2.tar.gz

检查openssl版本
dpkg -s openssl

检查 openssl 对 3DES 的支持
openssl 密码 -v "3DES"

下载openssl源码openssl>=1.1.0默认不支持3DES
wget -O openssl.zip -c https://github.com/openssl/openssl/archive/OpenSSL_1_0_1f.zip
解压 openssl.zip
mv openssl-OpenSSL_1_0_1f/openssl

编译安装nginx
cd nginx-1.12.2
./configure --with-openssl=../openssl --with-http_ssl_module --with-openssl-opt='enable-weak-ssl-ciphers'
制作
须藤安装

通过一些 ssl 配置，服务器能够支持使用 3DES 密码套件的 https 请求。

谢谢!