centos7 apache配置ssl支持tlsv1.0 1.1 1.2
原创93dd大智若愚 最后发布于2017-05-11 17:25:39 阅读数 2162 收藏
展开
按照阿里云的证书配置如下
安装证书:
文件说明:
1. 证书文件214089425050896.pem,包含两段内容,请不要删除任何一段内容。
2. 如果是证书系统创建的CSR,还包含:证书私钥文件214089425050896.key、证书公钥文件public.pem、证书链文件chain.pem。
( 1 ) 在Apache的安装目录下创建cert目录,并且将下载的全部文件拷贝到cert目录中。如果申请证书时是自己创建的CSR文件,请将对应的私钥文件放到cert目录下并且命名为214089425050896.key;
( 2 ) 打开 apache 安装目录下 conf 目录中的 httpd.conf 文件,找到以下内容并去掉“#”:
LoadModule ssl_module modules/mod_ssl.so (如果找不到请确认是否编译过 openssl 插件)
Include conf/extra/httpd-ssl.conf
1
2
( 3 ) 打开 apache 安装目录下 conf.d/ssl.conf文件 (也可能是conf/extra/httpd-ssl.conf,与操作系统及安装方式有关), 在配置文件中查找以下配置语句:
添加 SSL 协议支持协议,去掉不安全的协议
SSLProtocol TLSv1 TLSv1.1 TLSv1.2//这样配置只支持TLSv1.2
SSLProtocol All -SSLv2 -SSLv3//这样配置支持1.0到1.2全部TLS
修改加密套件如下
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
证书公钥配置
SSLCertificateFile cert/public.pem
证书私钥配置
SSLCertificateKeyFile cert/214089425050896.key
证书链配置,如果该属性开头有 '#'字符,请删除掉
SSLCertificateChainFile cert/chain.pem
1
2
3
4
5
6
7
8
9
10
11
( 4 ) 重启 Apache。
配置SSLProtocol All -SSLv2 -SSLv3可解决android部分设备无法使用https访问的问题
android设备有如下报错时可检查是否是TLS版本支持问题,android4.4以下版本不支持TLSv1.2
javax.net.ssl.SSLHandshakeException: javax.net.ssl.SSLProtocolException:
SSL handshake aborted: ssl=0x60c080e8: Failure in SSL library,
usually a protocol error
error:1407742E:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert protocol
version(external/openssl/ssl/s23_clnt.c:744 0x5bbd1d74:0x00000000)
1
2
3
4
5
不知道网站支持的TLS版本时,我们可以在QUALYS SSL LABS测试它对ssl支持的版本
————————————————
版权声明:本文为CSDN博主「93dd大智若愚」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_34627459/article/details/71643421