1. Zuhause
  2. Frage und Antwort
  3. Wie fügt man SSL_RSA zu SSLCipherSuite hinzu?

Wie fügt man SSL_RSA zu SSLCipherSuite hinzu?

2016-05-13 8 views
0

hoffen wirklich für etwas Hilfe in meinem Problem mit SSLCipherSuite ... Also ich habe diese Art von Virtual config:Wie fügt man SSL_RSA zu SSLCipherSuite hinzu?

<VirtualHost *:443> 
DocumentRoot /home/webz/site.com 
ServerName site.com 
ServerAlias www.site.com 

SSLProtocol -all +TLSv1.1 +TLSv1.2 

SSLHonorCipherOrder on 
SSLCipherSuite "kEDH:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+AESGCM:EECDH:EDH+AESGCM:EDH+aRSA:HIGH:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!DHE-RSA-SEED-SHA:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DH+3DES:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES256-SHA256:!DHE-RSA-AES256-SHA:!DHE-RSA-CAMELLIA256-SHA:!DHE-RSA-DES-CBC3-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES128-SHA256:!DHE-RSA-AES128-SHA:!DHE-RSA-CAMELLIA128-SHA:!RC4" 
SSLCompression off 

SSLEngine on 
SSLCertificateFile /etc/httpd/ssl/site.com.crt 
SSLCertificateKeyFile /etc/httpd/ssl/site.com.key 
SSLCertificateChainFile /etc/httpd/ssl/DigiCertCA.crt 
</VirtualHost>

Alles funktioniert auch Sicherheit durch Test in Ordnung ist. (https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp)

PROBLEM: Ich versuche, Zahlungsmodul (RedApp) für Opencart 2. RedApp Support-Team zu installieren sind nicht Zahlungsmodul aktiviert, weil sie mich fragen unter einem aus SSLCipherSuite hinzuzufügen:

SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA , SSL_RSA_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_AES_256_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA

im Moment alle SSLCipherSuite mit TLS beginnt ... :(Also, wie einer jener SSLCi hinzufügen pherSuites mit SSL_RSA ... ??? Hoffe, es gibt jemanden, der gute SSL kennt und helfen wird ...

Quelle

2016-05-13 Raimonds Zundurs

+0

In den ['openssl chiphers' Dokumenten] (https://www.openssl.org/docs/manmaster/apps/ciphers.html), etwa 2/3 des Weges nach unten, sollten Sie Listen von finden Die RFC-Namen (z. B. "SSL_RSA_WITH_RC4_128_MD5") wurden mit ihrem OpenSSL-zugewiesenen Verschlüsselungsnamen (wie 'RC4-MD5') verknüpft. – Castaglia

+0

Ja, aber wie Sie sie in meinem virtuellen Host hinzufügen ??? –

+0

Stack Overflow ist eine Website für Programmier- und Entwicklungsfragen. Diese Frage scheint off-topic zu sein, weil es nicht um Programmierung oder Entwicklung geht. Siehe [Welche Themen kann ich hier fragen?] (Http://stackoverflow.com/help/on-topic) in der Hilfe. Vielleicht [Super User] (http://superuser.com/) oder [Serverfehler] (http://serverfault.com/) wäre ein besserer Ort, um zu fragen. Siehe auch [Wo veröffentliche ich Fragen zu Dev Ops?] (Http://meta.stackexchange.com/q/134306). – jww

Antwort

1

Entsprechend Ihrer Konfiguration haben Sie solche Chiffre-Suiten bereits. Zum Beispiel haben Sie AES256-SHA hinzugefügt, das mit TLS_RSA_WITH_AES_256_CBC_SHA identisch ist. Und das Präfix SSL_ anstelle des Präfix TLS_ ist nur eine Konvention aus den alten Zeiten, in denen TLS SSL genannt wurde (d. H. TLS 1.0 ist tatsächlich SSL 3.1).

Es ist wahrscheinlicher, dass Ihre Einschränkung auf TLS 1.1 und TLS 1.2 das Problem verursacht, weil sie verlangen, dass Sie solche alten Chiffren verwenden und nicht einmal mit ECDHE-Chiffren umgehen können, dass sie einen sehr alten Client haben sprechen können TLS 1.1 oder TLS 1.2.

Natürlich könnte es auch sein, dass Sie verschiedene Verschlüsselungen in anderen (d. H. Nicht gezeigten) Teilen Ihrer Serverkonfiguration enthalten, die Vorrang haben. Um Informationen zu erhalten, welche Art von Verschlüsselungen Ihr Server wirklich unterstützt, überprüfen Sie Ihre Website mit SSLLabs.

EDIT: Die analysis by SSLLabs zeigt ganz deutlich, dass TLS_RSA_WITH_AES_256_CBC_SHA (die die gleiche wie SSL_RSA_WITH_AES_256_CBC_SHA oder AES256-SHA ist) auf dem Server wie gewünscht aktiviert ist. Wenn meine Annahme richtig ist, besteht das eigentliche Problem darin, dass sie einen alten Client verwenden, der noch nicht TLS 1.1 oder TLS 1.2 spricht. In diesem Fall könnten Sie Ihre Konfiguration für die unterstützten Protokollversionen ändern TLS 1.0 zu ermöglichen: 

SSLProtocol all -SSLv3

Mit dieser Konfiguration TLS 1.0 und besser (d TLS 1.1, TLS 1.2) unterstützt.

Quelle

2016-05-14 03:21:35

+0

Haupt-SSL-Konfiguration ist dieselbe SSLCipherSuite. Seite ist [link] pro24.es [/ link] ... Ich habe wirklich viele Varianten ausprobiert. Aber sie bitten alle Zeit, eines dieser SSL hinzuzufügen. Ich bin wirklich schwach in SSL-Fragen. Vielleicht werde ich versuchen, Ihre E-Mail zu kopieren.Vielen Dank für die Antwort;) –

+1

@RaimondsZundurs: Analyse von ssllabs zeigt, dass Sie bereits die erforderliche Verschlüsselung unterstützen. Siehe bearbeitete Antwort für weitere Details. –

+0

Vielen Dank für die Beratung ... Ich habe Änderungen an Virtualhost auch zu MSL-Konfig ... auch ich sende eine Nachricht an Zahlungsmodul REDSYS Team wird sehen, was sie sagen :)), aber ich denke, sie werden Montag antworten ... wird sehen ... –

 Verwandte Themen

  • Keine verwandten Themen^_^