TLS 1.2가 준비되지 않은 모든 클라이언트를 평가하는 동안 단기간에 macOS 10.12.4를 사용하는 서버 5.3에서 TLS 1.1 및 1.0을 다시 활성화하려면 어떻게해야합니까?
맨 아래로 이동하면 이전 버전과의 호환성을 복원하기 위해 구성 파일 변경 시도가 실패했습니다
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
우리 서버를 macOS 12.4로 업데이트하고 Server app를 버전 5.3으로 업데이트 한 후 curl
Linux 컴퓨터에서 macOS 서버 https 사이트에 연결하는 작업이 중단되어 클라이언트 측에서 다음 메시지를 발행했습니다.
$ curl -v --insecure -o "output.file" https://myserver.domain/path/page.php
* About to connect() to myserver.domain port 443 (#0)
* Trying 192.168.xxx.xxx... connected
* Connected to myserver.domain (192.168.xxx.xxx) port 443 (#0)
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs/
* SSLv3, TLS handshake, Client hello (1):
} [data not shown]
* error:1407742E:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert protocol version
* Closing connection #0
MacOS 서버가 업데이트되기 전에 연결이 제대로 작동했습니다. 그래서 그것은 업데이 트가 연결 옵션을 껐다. curl
에 의존. 나는 많은 것을 봤지만 아직 정확한 원인이 무엇인지에 대해서는 확신이 서지 않다.
똑같다 curl
명령은 다른 Mac에서 발행 할 때 작동합니다. 리눅스 머신에는
$ curl --version
curl 7.19.0 (x86_64-suse-linux-gnu) libcurl/7.19.0 OpenSSL/0.9.8h zlib/1.2.3 libidn/1.10
Protocols: tftp ftp telnet dict ldap http file https ftps
Features: GSS-Negotiate IDN IPv6 Largefile NTLM SSL libz
Mac 클라이언트에서는
$ curl --version
curl 7.51.0 (x86_64-apple-darwin16.0) libcurl/7.51.0 SecureTransport zlib/1.2.8
Protocols: dict file ftp ftps gopher http https imap imaps ldap ldaps pop3 pop3s rtsp smb smbs smtp smtps telnet tftp
Features: AsynchDNS IPv6 Largefile GSS-API Kerberos SPNEGO NTLM NTLM_WB SSL libz UnixSockets
유감스럽게도 업데이트를 시도하는 옵션이 아닙니다. curl
Linux 컴퓨터에서.
일부 리소스는 호환되지 않는 암호 제품군을 원인으로 요구하지만 일부 테스트를 거친 후에는 다음을 사용하여 솔루션을 찾을 수 없었습니다. --ciphers
옵션을 사용하고 호환 가능한 암호화 제품군을 찾는 방법을 모르겠습니다.
나는 macOS Server 5.3으로 무엇이 바뀌 었는지 알아 내려고 노력했지만, Apple의 변경 로그는 그것에 대해 어떤 힌트도주지 않는다. 그래서 질문은 :
macOS 12.4 및 / 또는 macOS Server 5.3에서 변경된 사항과 macOS 서버를 다시 구성 할 수있는 방법은 무엇입니까? curl
연결이 다시 작동합니까?
업데이트 1 :
나는 일시적으로 항구 443을 대중에게 노출 시켜서 SSL 연구소 테스트 . 결과는 내 MacOS 서버가 TLS 1.2 만 지원한다는 것을 보여줍니다. 여러 시뮬레이션 클라이언트의 경우 테스트 보고서 Server sent fatal alert: protocol_version
- 예 : IE8-10 / Win7 및 Java7u25.
TLS 1과 1.1을 다시 활성화하려고 시도했습니다.
/library/server/web/config/apache2/sites/0000_127.0.0.1_34543_myserver.domain.conf
/library/server/web/config/apache2/httpd.conf
/library/server/web/config/apache2/httpd_server_app.conf
/library/server/web/config/proxy/apache_serviceproxy.conf
(여기에 여러 인스턴스가 있음)
작고 보기 흉한 사람
SSLProtocol -all +TLSv1.2
으로
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
또는
SSLProtocol All
URL을 가져올 때 차이를 만들지는 않았습니다. curl
.
업데이트 2 :
서비스 프록시 오류 로그에 표시됩니다.
[datetime] [ssl:info] [pid n] [client x.x.x.x:38805] AH02008: SSL library error 1 in handshake (server myserver.domain:443)
[datetime] [ssl:info] [pid n] SSL Library Error: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number
[datetime] [ssl:info] [pid n] [client x.x.x.x:38805] AH01998: Connection closed to child 11 with abortive shutdown (server myserver.domain:443)
내게는 TLS v1을 활성화하려는 내 시도가 작동하지 않는 것처럼 보입니다.
그래서 질문은 : MacOS Server Apache에서 TLS v1을 어떻게 다시 활성화 할 수 있습니까?