SSL-Peer konnte keine akzeptablen Sicherheitsparameter aushandeln

7

Ich habe Abschnitt 1B dieses Handbuchs befolgt , um ein Zertifikat zu erstellen und es selbst zu signieren und Apache für die Verwendung dieses Zertifikats einzurichten. Wenn ich jedoch versuche, meine Website sicher anzuzeigen, gibt Firefox diesen Fehler aus:

sichere Verbindung fehlgeschlagen

Bei einer Verbindung zu animuson.com ist ein Fehler aufgetreten.

SSL hat einen Datensatz erhalten, der die maximal zulässige Länge überschritten hat.

(Fehlercode: ssl_error_rx_record_too_long)

Ich habe es zuerst mit 4096 versucht. Anstatt den in der Anleitung enthaltenen 4096 zu verwenden, habe ich stattdessen 1028 verwendet (was meiner Meinung nach die normale Größe war). Ich benutze APache2 unter CentOS 5 ...

Aus "/etc/httpd/conf/extra/httpd-ssl.conf" (natürlich zusammen komprimiert):

Listen 443
SSLEngine On
SSLCertificateFile "/etc/httpd/conf/ssl/server.crt"
SSLCertificateKeyFile "/etc/httpd/conf/ssl/server.key"

Irgendwelche Ideen?

BEARBEITEN

Ich habe die Meilen von ihren Standardverzeichnissen ssl.key und ssl.crt verschoben und etwas anderes getan, an das ich mich nicht erinnere, was zu funktionieren schien. Es wurde die Seite "Ausnahme hinzufügen" angezeigt und ich habe sie per Stammzertifikat in meinem Browser installiert. Jetzt wird der folgende Fehler angezeigt:

sichere Verbindung fehlgeschlagen

Bei einer Verbindung zu animuson.com ist ein Fehler aufgetreten.

SSL-Peer konnte keine akzeptablen Sicherheitsparameter aushandeln.

(Fehlercode: ssl_error_handshake_failure_alert)

Ich habe keine Ahnung, was dies bedeutet oder welche Informationen Sie benötigen, um mir dabei zu helfen.

animuson
quelle
Dies wäre möglicherweise einfacher gewesen, wenn Sie Ihre Konfiguration nicht komprimiert hätten. Haben Sie ein VirtualHost-Setup für: 443?
Andol
Möglicherweise führen Sie http am https-Port aus. Fragen Sie bei nc oder telnet nach.
Tobu
Haben Sie noch etwas in Ihrer Konfiguration SSL-weise vor? Diese Nachricht stammt von SSL_ERROR_HANDSHAKE_FAILURE_ALERT (wie mit gesehen openssl s_client -connect [...]). Hast du SSLVerifyClientetwas Funky mit SSLCipherSuiteusw.?
Medina

Antworten:

4

Großartig! Um ganz klar zu sein, waren Sie an dem Punkt, an dem der Fehler aufgetreten ist SSL_ERROR_HANDSHAKE_FAILURE_ALERT. Eine gute Möglichkeit, dies zu untersuchen, ist mit

openssl s_client -state -debug -showcerts -verify 0 -connect example.com:443

(und alle möglichen nützlichen Optionen) und Sie waren hilfreich genug, um den tatsächlichen Servernamen anzugeben.

Der Handshake-Fehler wird durch einen Fehler während des SSL / TLS- Handshakes verursacht . Wir haben das Zertifikat in Ordnung bekommen, was mich zu der Annahme führte, dass das Problem entweder auf einen Fehler CertificateRequestdes Servers zurückzuführen war oder auf die Cipher Suite. Das letztere Problem hat seine eigenen Fehlermeldungen, jetzt wo ich mehr darüber nachdenke. Hier finden Sie die NSS- und SSL-Fehlercodes von Firefox .

SSLVerifyClient require In der Apache-Konfiguration muss der Client tatsächlich ein gültiges Zertifikat vorlegen, um sich beim Server zu authentifizieren. Dies war das Problem, wie Sie bestätigen.

Medina
quelle
Dank @medina oben wurde SSLVerifyClient aus irgendeinem Grund so eingestellt, dass es anstelle von none erforderlich ist (Standard). Ich habe gerade die Zeile auskommentiert und sie hat funktioniert. Ich habe überhaupt keine Erfahrung mit OpenSSL, also wusste ich nicht, welche Einstellungen ich überhaupt dafür ansehen sollte. Danke noch einmal. :)
animuson
1

Für den Webserver muss sich der Client wahrscheinlich authentifizieren ... auf dem Apache-Server befindet er sich in httpd.conf .... "SSLVerifyClient erfordert" Hierfür muss in Firefox "Ihr Zertifikat" geladen sein ... UND die CA-Zertifikatketten müssen geladen sein auch.

Das Problem ist, dass die Personal- oder CA Server-Zertifikate

möglicherweise nicht über die CA-Ketten gebunden. könnte abgelaufen sein. könnte beschädigt sein.

Versuchen Sie, das persönliche Zertifikat erneut zu importieren. Importieren Sie alle Zertifizierungsstellen erneut, auf die im persönlichen Zertifikat verwiesen wird

HOWTO-Tools, -Optionen, -Verschlüsselung, Anzeigen von Zertifikaten Ihre Zertifikate .... Importieren Sie Ihr Zertifikat aus der PKCS12-Datei * .p12-Server, Importieren, Zertifizieren von Dateien * .cer Je nach Kette benötigen Sie möglicherweise mehrere davon


quelle