O par SSL não conseguiu negociar um conjunto aceitável de parâmetros de segurança

Question

O par SSL não conseguiu negociar um conjunto aceitável de parâmetros de segurança

#1 resposta do (3 votos)
#2 resposta do (1 votos)

6

Eu segui a seção 1B do guia para criar um certificado e assiná-lo por conta própria configurar o Apache para usar esse certificado, mas sempre que eu tento exibir meu site com segurança, o Firefox exibe este erro:

Secure Connection Failed

An error occurred during a connection to animuson.com.

SSL received a record that exceeded the maximum permissible length.

(Error code: ssl_error_rx_record_too_long)

Eu tentei com o 4096 primeiro. Então, em vez de usar o 4096 que está no guia, usei 1028 (que eu achava que era o tamanho normal para usar). Estou usando o APache2 no CentOS 5 ...

De "/etc/httpd/conf/extra/httpd-ssl.conf" (compactado juntos, claro):

Listen 443
SSLEngine On
SSLCertificateFile "/etc/httpd/conf/ssl/server.crt"
SSLCertificateKeyFile "/etc/httpd/conf/ssl/server.key"

Alguma idéia?

EDITAR

Mudei as milhas dos diretórios padrão ssl.key e ssl.crt e fiz outra coisa que não me lembro, o que parecia funcionar. Ele começou mostrando a página 'Add Exception' e instalei pelo certificado raiz para o meu brower, agora ele mostra o seguinte erro:

Secure Connection Failed

An error occurred during a connection to animuson.com.

SSL peer was unable to negotiate an acceptable set of security parameters.

(Error code: ssl_error_handshake_failure_alert)

Eu não tenho ideia do que isso significa ou de quais informações você pode precisar para me ajudar.

ssl apache-2.2 centos ssl-certificate httpd

por animuson 02.07.2010 / 20:25

2 respostas

1

o servidor web está provavelmente exigindo que o cliente autentique ... no servidor apache ele está no httpd.conf .... "SSLVerifyClient require" isso exige que você tenha um "Seu certificado" carregado no Firefox ... E as cadeias de certificados da CA também carregadas.

o problema é que os certificados Personal ou CA Server

pode não estar vinculado nas cadeias de CA. pode estar expirado. pode estar corrompido.

tente reimportar o certificado pessoal reimportar todos os CA referenciados no certificado pessoal

COMO FAZER Ferramentas, Opções, Criptografia, Ver Certificados Seus certificados .... Importe seu certificado do arquivo PKCS12 * .p12 Servidores, Importação, arquivos certificados * .cer você pode precisar de vários deles dependendo da cadeia

por 30.07.2010 / 16:35

Tags ssl apache-2.2 centos ssl-certificate httpd

Como enviar arquivos para vários PCs Quão boa é a redução de ruído em um XRackpro2?

score 3 · Accepted Answer

Ótimo! Então, só para ficar claro, você estava no ponto em que o erro era SSL_ERROR_HANDSHAKE_FAILURE_ALERT . Uma boa maneira de investigar é com

openssl s_client -state -debug -showcerts -verify 0 -connect example.com:443

(e todos os tipos de opções úteis) e você foi útil o suficiente para ter fornecido o nome real do servidor.

O erro de handshake é causado, bem, por um erro durante o handshake do SSL / TLS. Recebemos o certificado muito bem, o que me levou a supor que o problema era algo que falhava em resposta a CertificateRequest do servidor ou algo estranho com o conjunto de criptografia. O último problema tem seu próprio conjunto de mensagens de erro agora que eu penso mais sobre isso. Os Códigos de erro SSL e NSS do Firefox são úteis aqui.

SSLVerifyClient require na configuração do Apache exigirá, de fato, que o cliente apresente um certificado válido para autenticar no servidor, que era o problema que você confirma.