Chúng tôi có hai trang web chạy trên một apache:
www-example1-com, www-example2-com
www-example1-com là trang web đầu tiên tồn tại, có chứng chỉ cho phép mã hóa và hoạt động tốt.
www-example2-com là trang web thứ hai cũng có chứng chỉ cho phép mã hóa.
www-example1-com hoạt động tốt. www-example2-com gây ra lỗi trong Firefox và Chromium
SSL_ERROR_NO_CYPHER_OVERLAP trong Firefox
ERR_SSL_VERSION_OR_CIPHER_MISMATCH trong Chromium
Những gì tôi đã làm cho đến nay:
- Tôi đã tạo chứng chỉ cho www-example2
- Tôi cũng đã mở rộng chứng chỉ của www-example1 để tính cho www-example2.
- Tôi đã mở rộng ví dụ2.conf trong /etc/apache2/sites-available bằng đoạn mã từ
https://ssl-config.mozilla.org/
- Tôi đã xóa khóa và chứng chỉ cho www.example2 rồi lấy lại.
- Tôi đã kiểm tra ví dụ1-conf, ví dụ2-conf, 000-default-le-ssl.conf, apache2.conf
- https://www.ssllabs.com/ssltest/analyze.html?d=example2.com -> Đánh giá không thành công: Không thể giao tiếp với máy chủ bảo mật
Error.log của apache xuất ra dòng này: [ssl:info] [pid 19288] (70014)Đã tìm thấy phần cuối của tệp: [client 192.168.0.9:53597] AH01991: Không đọc được bộ lọc đầu vào SSL.
Xin lưu ý: Có một SNI dường như được định cấu hình chính xác, nhưng tôi không có quyền truy cập trực tiếp vào.
Trong mỗi trường hợp, thông báo lỗi không thay đổi.
000-default-le-ssl.conf:
<IfModule mod_ssl.c>
<VirtualHost *:443>
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"
ServerAdmin webmaster@localhost
Protocols h2 h2c http/1.1
DocumentRoot /var/www/html/
ServerName www.example1.com
ServerAlias example1.com
Protocols h2 h2c http/1.1
<Directory /var/www/>
Options -Indexes +FollowSymLinks
AllowOverride all
Order allow,deny
allow from all
</Directory>
# added 01.04.2019 END
<Directory /var/www/html/>
Options -Indexes +FollowSymlinks
AllowOverride All
Require all granted
allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
#SSLEngine off
#Include /etc/letsencrypt/options-ssl-apache.conf
#Header always set Content-Security-Policy upgrade-insecure-requests
Include /etc/letsencrypt/options-ssl-apache.conf
#SSLCertificateFile /etc/letsencrypt/live/www.example2.com/fullchain.pem
#SSLCertificateKeyFile /etc/letsencrypt/live/www.example2.com/privkey.pem
#Include /etc/letsencrypt/options-ssl-apache.conf
SSLCertificateFile /etc/letsencrypt/live/www.example1.com-0001/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.example1.com-0001/privkey.pem
</VirtualHost>
</IfModule>
ví dụ2.conf
<VirtualHost *:80>
Protocols h2 http/1.1
ServerAdmin [email protected]
DocumentRoot /var/www/html1/example2/
ServerName www.example2.com
ServerAlias example2.com
<Directory /var/www/html1/example2>
Options -Indexes +FollowSymLinks +MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
RewriteEngine on
RewriteCond %{SERVER_NAME} =www.example2.com [OR]
RewriteCond %{SERVER_NAME} =example2.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>
<IfModule mod_ssl.c>
<VirtualHost *:443>
ServerAdmin [email protected]
Protocols h2 h2c http/1.1
DocumentRoot /var/www/html1/example2
ServerName www.example2.com
ServerAlias example2.com
<Directory /var/www/html1>
Options -Indexes +FollowSymLinks
AllowOverride all
Order allow,deny
allow from all
</Directory>
<Directory /var/www/html1/example2>
Options -Indexes +FollowSymlinks
AllowOverride All
Require all granted
allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
# SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
# SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
# SSLHonorCipherOrder off
# SSLSessionTickets off
#SSLUseStapling On
#SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
Include /etc/letsencrypt/options-ssl-apache.conf
SSLCertificateFile /etc/letsencrypt/live/www.example1.com-0001/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.example1.com-0001/privkey.pem
</VirtualHost>
</IfModule>
Đầu ra của openssl:
ĐÃ KẾT NỐI(00000003)
140386018971712:error:14094410:SSL thường trình:ssl3_read_bytes:sslv3 cảnh báo bắt tay thất bại:../ssl/record/rec_layer_s3.c:1407:SSL cảnh báo số 40
---
không có chứng chỉ ngang hàng
---
Không có tên CA chứng chỉ ứng dụng khách nào được gửi
---
Bắt tay SSL đã đọc 7 byte và ghi 198 byte
Xác minh: OK
---
Mới, (NONE), Mật mã là (NONE)
Đàm phán lại an toàn KHÔNG được hỗ trợ
Nén: KHÔNG CÓ
Mở rộng: KHÔNG CÓ
Không có ALPN nào được thương lượng
Phiên SSL:
Giao thức: TLSv1.2
Mật mã : 0000
ID phiên:
Phiên-ID-ctx:
Khóa chính:
Danh tính PSK: Không có
Gợi ý nhận dạng PSK: Không có
Tên người dùng SRP: Không có
Thời gian bắt đầu: 1623677307
Thời gian chờ: 7200 (giây)
Xác minh mã trả về: 0 (ok)
Bí mật tổng thể mở rộng: không
Ai đó có thể vui lòng giúp tìm ra lỗi? Xin vui lòng cho tôi biết nếu bạn cần thêm thông tin.
Cảm ơn trước.