Điểm:1

Cách sửa lỗi SSL_ERROR_NO_CYPHER_OVERLAP cho 2 tên miền trên apache bằng certbot

lá cờ cn

Chúng tôi có hai trang web chạy trên một apache: www-example1-com, www-example2-com

www-example1-com là trang web đầu tiên tồn tại, có chứng chỉ cho phép mã hóa và hoạt động tốt. www-example2-com là trang web thứ hai cũng có chứng chỉ cho phép mã hóa.

www-example1-com hoạt động tốt. www-example2-com gây ra lỗi trong Firefox và Chromium SSL_ERROR_NO_CYPHER_OVERLAP trong Firefox ERR_SSL_VERSION_OR_CIPHER_MISMATCH trong Chromium

Những gì tôi đã làm cho đến nay:

  • Tôi đã tạo chứng chỉ cho www-example2
  • Tôi cũng đã mở rộng chứng chỉ của www-example1 để tính cho www-example2.
  • Tôi đã mở rộng ví dụ2.conf trong /etc/apache2/sites-available bằng đoạn mã từ https://ssl-config.mozilla.org/
  • Tôi đã xóa khóa và chứng chỉ cho www.example2 rồi lấy lại.
  • Tôi đã kiểm tra ví dụ1-conf, ví dụ2-conf, 000-default-le-ssl.conf, apache2.conf
  • https://www.ssllabs.com/ssltest/analyze.html?d=example2.com -> Đánh giá không thành công: Không thể giao tiếp với máy chủ bảo mật

Error.log của apache xuất ra dòng này: [ssl:info] [pid 19288] (70014)Đã tìm thấy phần cuối của tệp: [client 192.168.0.9:53597] AH01991: Không đọc được bộ lọc đầu vào SSL.

Xin lưu ý: Có một SNI dường như được định cấu hình chính xác, nhưng tôi không có quyền truy cập trực tiếp vào.

Trong mỗi trường hợp, thông báo lỗi không thay đổi.

000-default-le-ssl.conf:

<IfModule mod_ssl.c>
<VirtualHost *:443>
    Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"
    ServerAdmin webmaster@localhost
    Protocols h2 h2c http/1.1
    DocumentRoot /var/www/html/
    ServerName www.example1.com
    ServerAlias example1.com
    Protocols h2 h2c http/1.1

    <Directory /var/www/>
            Options -Indexes +FollowSymLinks
            AllowOverride all
            Order allow,deny
            allow from all
    </Directory>
    
    # added 01.04.2019 END
    
    <Directory /var/www/html/>
      Options -Indexes +FollowSymlinks
      AllowOverride All
      Require all granted
      allow from all
    </Directory>

    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined

    #SSLEngine off
    #Include /etc/letsencrypt/options-ssl-apache.conf
    #Header always set Content-Security-Policy upgrade-insecure-requests
    Include /etc/letsencrypt/options-ssl-apache.conf
    #SSLCertificateFile /etc/letsencrypt/live/www.example2.com/fullchain.pem
    #SSLCertificateKeyFile /etc/letsencrypt/live/www.example2.com/privkey.pem
    #Include /etc/letsencrypt/options-ssl-apache.conf
    SSLCertificateFile /etc/letsencrypt/live/www.example1.com-0001/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/www.example1.com-0001/privkey.pem
    </VirtualHost>
    </IfModule>

ví dụ2.conf

<VirtualHost *:80>
 Protocols h2 http/1.1
 ServerAdmin [email protected]
 DocumentRoot /var/www/html1/example2/
 ServerName www.example2.com
 ServerAlias example2.com
 <Directory /var/www/html1/example2>
    Options -Indexes +FollowSymLinks +MultiViews
    AllowOverride All
    Order allow,deny
    allow from all
 </Directory>

 ErrorLog ${APACHE_LOG_DIR}/error.log
 CustomLog ${APACHE_LOG_DIR}/access.log combined
 RewriteEngine on
 RewriteCond %{SERVER_NAME} =www.example2.com [OR]
 RewriteCond %{SERVER_NAME} =example2.com
 RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
 </VirtualHost>

 <IfModule mod_ssl.c>
 <VirtualHost *:443>
    ServerAdmin [email protected]
    Protocols h2 h2c http/1.1
    DocumentRoot /var/www/html1/example2
    ServerName www.example2.com
    ServerAlias example2.com

    <Directory /var/www/html1>
            Options -Indexes +FollowSymLinks
            AllowOverride all
            Order allow,deny
            allow from all
    </Directory>
    <Directory /var/www/html1/example2>
      Options -Indexes +FollowSymlinks
      AllowOverride All
      Require all granted
     allow from all
    </Directory>
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
 #       SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
 #       SSLCipherSuite          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
 #       SSLHonorCipherOrder     off
 #       SSLSessionTickets       off

 #SSLUseStapling On
 #SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"

 Include /etc/letsencrypt/options-ssl-apache.conf
 SSLCertificateFile /etc/letsencrypt/live/www.example1.com-0001/fullchain.pem
 SSLCertificateKeyFile /etc/letsencrypt/live/www.example1.com-0001/privkey.pem
 </VirtualHost>
 </IfModule>

Đầu ra của openssl:

ĐÃ KẾT NỐI(00000003)
140386018971712:error:14094410:SSL thường trình:ssl3_read_bytes:sslv3 cảnh báo bắt tay thất bại:../ssl/record/rec_layer_s3.c:1407:SSL cảnh báo số 40
---
 không có chứng chỉ ngang hàng
---
Không có tên CA chứng chỉ ứng dụng khách nào được gửi
---
Bắt tay SSL đã đọc 7 byte và ghi 198 byte
Xác minh: OK
---
Mới, (NONE), Mật mã là (NONE)
Đàm phán lại an toàn KHÔNG được hỗ trợ
Nén: KHÔNG CÓ
Mở rộng: KHÔNG CÓ
Không có ALPN nào được thương lượng
Phiên SSL:
Giao thức: TLSv1.2
Mật mã : 0000
ID phiên: 
Phiên-ID-ctx: 
Khóa chính: 
Danh tính PSK: Không có
Gợi ý nhận dạng PSK: Không có
Tên người dùng SRP: Không có
Thời gian bắt đầu: 1623677307
Thời gian chờ: 7200 (giây)
Xác minh mã trả về: 0 (ok)
Bí mật tổng thể mở rộng: không

Ai đó có thể vui lòng giúp tìm ra lỗi? Xin vui lòng cho tôi biết nếu bạn cần thêm thông tin.

Cảm ơn trước.

ezra-s avatar
lá cờ ru
Giả sử nó sẽ hoạt động nhưng tôi không thấy "SSLEngine on" trong máy chủ ảo. Một lưu ý khác, Đặt hàng, Cho phép, Từ chối là các lệnh không được dùng nữa, vui lòng ngừng sử dụng chúng. Tương tự với "AllowOverride all" nếu bạn là quản trị viên của trang thì không cần sử dụng .htaccess. Ồ và... bạn có thể muốn mod_md xử lý các chứng chỉ letsencrypt, hãy dùng thử.
Zehke avatar
lá cờ cn
có thể lỗi cũng được đưa ra khi không có ssl nào được bật trên máy chủ không? - Chúng tôi đã lấy một máy chủ mới, tạo mọi thứ từ đầu chỉ với trang web apache mặc định và lỗi vẫn xảy ra

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.