Puncte:1

Cum să remediați SSL_ERROR_NO_CYPHER_OVERLAP pentru 2 domenii pe apache cu certbot

drapel cn

Avem două site-uri care rulează pe un singur apache: www-example1-com, www-example2-com

www-example1-com a fost primul site care a existat, a primit un certificat les-encrypt și funcționează bine. www-example2-com este al doilea site, care a primit și un certificat les-encrypt.

www-example1-com funcționează bine. www-example2-com provoacă o eroare în Firefox și Chromium SSL_ERROR_NO_CYPHER_OVERLAP în Firefox ERR_SSL_VERSION_OR_CIPHER_MISMATCH în Chromium

Ce am facut pana acum:

  • Am generat un certificat pentru www-example2
  • Am extins certificatul pentru www-example1 pentru a conta și pentru www-example2.
  • Am extins exemplul2.conf în /etc/apache2/sites-available prin fragmentul de cod din https://ssl-config.mozilla.org/
  • Am șters cheia și certificatul pentru www.example2 și le-am adunat din nou.
  • Am verificat example1-conf, example2-conf, 000-default-le-ssl.conf, apache2.conf
  • https://www.ssllabs.com/ssltest/analyze.html?d=example2.com --> Evaluare eșuată: eșuarea comunicării cu serverul securizat

Error.log-ul Apache scoate această linie: [ssl:info] [pid 19288] (70014)Sfârșitul fișierului găsit: [client 192.168.0.9:53597] AH01991: citirea filtrului de intrare SSL a eșuat.

Vă rugăm să rețineți: există un SNI care pare să fie configurat corect, dar nu am acces direct la el.

În fiecare caz, mesajul de eroare nu s-a schimbat.

000-default-le-ssl.conf:

<IfModule mod_ssl.c>
<VirtualHost *:443>
    Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"
    ServerAdmin webmaster@localhost
    Protocols h2 h2c http/1.1
    DocumentRoot /var/www/html/
    ServerName www.example1.com
    ServerAlias example1.com
    Protocols h2 h2c http/1.1

    <Directory /var/www/>
            Options -Indexes +FollowSymLinks
            AllowOverride all
            Order allow,deny
            allow from all
    </Directory>
    
    # added 01.04.2019 END
    
    <Directory /var/www/html/>
      Options -Indexes +FollowSymlinks
      AllowOverride All
      Require all granted
      allow from all
    </Directory>

    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined

    #SSLEngine off
    #Include /etc/letsencrypt/options-ssl-apache.conf
    #Header always set Content-Security-Policy upgrade-insecure-requests
    Include /etc/letsencrypt/options-ssl-apache.conf
    #SSLCertificateFile /etc/letsencrypt/live/www.example2.com/fullchain.pem
    #SSLCertificateKeyFile /etc/letsencrypt/live/www.example2.com/privkey.pem
    #Include /etc/letsencrypt/options-ssl-apache.conf
    SSLCertificateFile /etc/letsencrypt/live/www.example1.com-0001/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/www.example1.com-0001/privkey.pem
    </VirtualHost>
    </IfModule>

exemplu2.conf

<VirtualHost *:80>
 Protocols h2 http/1.1
 ServerAdmin [email protected]
 DocumentRoot /var/www/html1/example2/
 ServerName www.example2.com
 ServerAlias example2.com
 <Directory /var/www/html1/example2>
    Options -Indexes +FollowSymLinks +MultiViews
    AllowOverride All
    Order allow,deny
    allow from all
 </Directory>

 ErrorLog ${APACHE_LOG_DIR}/error.log
 CustomLog ${APACHE_LOG_DIR}/access.log combined
 RewriteEngine on
 RewriteCond %{SERVER_NAME} =www.example2.com [OR]
 RewriteCond %{SERVER_NAME} =example2.com
 RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
 </VirtualHost>

 <IfModule mod_ssl.c>
 <VirtualHost *:443>
    ServerAdmin [email protected]
    Protocols h2 h2c http/1.1
    DocumentRoot /var/www/html1/example2
    ServerName www.example2.com
    ServerAlias example2.com

    <Directory /var/www/html1>
            Options -Indexes +FollowSymLinks
            AllowOverride all
            Order allow,deny
            allow from all
    </Directory>
    <Directory /var/www/html1/example2>
      Options -Indexes +FollowSymlinks
      AllowOverride All
      Require all granted
     allow from all
    </Directory>
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
 #       SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
 #       SSLCipherSuite          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
 #       SSLHonorCipherOrder     off
 #       SSLSessionTickets       off

 #SSLUseStapling On
 #SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"

 Include /etc/letsencrypt/options-ssl-apache.conf
 SSLCertificateFile /etc/letsencrypt/live/www.example1.com-0001/fullchain.pem
 SSLCertificateKeyFile /etc/letsencrypt/live/www.example1.com-0001/privkey.pem
 </VirtualHost>
 </IfModule>

Ieșirea lui openssl:

CONECTAT(00000003)
140386018971712:error:14094410:Rutine SSL:ssl3_read_bytes:sslv3 alertă eșec de acordare de mână:../ssl/record/rec_layer_s3.c:1407:SSL alertă numărul 40
---
 nu este disponibil niciun certificat de egalitate
---
Nu s-au trimis nume de CA de certificat de client
---
SSL handshake a citit 7 octeți și a scris 198 de octeți
Verificare: OK
---
Nou, (NONE), Cipher este (NIMIC)
Renegocierea sigură NU ESTE acceptată
Compresie: NIMIC
Extindere: NIMIC
Nu s-a negociat ALPN
Sesiune SSL:
Protocol: TLSv1.2
Cifrare: 0000
Sesiune ID: 
ID-ul sesiunii-ctx: 
Cheia principala: 
Identitate PSK: Niciuna
Sugestie de identitate PSK: Niciuna
Nume de utilizator SRP: niciunul
Ora de începere: 1623677307
Timeout: 7200 (sec)
Verificați codul de returnare: 0 (ok)
Secret principal extins: nu

Poate cineva să ajute să găsească eroarea? Vă rog să-mi spuneți dacă aveți nevoie de mai multe informații.

Mulțumesc anticipat.

ezra-s avatar
drapel ru
Se presupune că ar trebui să funcționeze, dar nu văd „SSLEngine pornit” în virtualhost. În altă ordine de idei, Order, Allow, Deny sunt directive depreciate, vă rugăm să nu le mai utilizați. La fel și cu „AllowOverride all” dacă ești administratorul site-ului, nu este nevoie să folosești .htaccess. Ah și... s-ar putea să vă placă mod_md să se ocupe de certificatele Letsencrypt, încercați.
Zehke avatar
drapel cn
este posibil ca eroarea să fie aruncată și atunci când nu este activat niciun ssl pe server? - Am luat un server nou, am creat totul de la zero doar cu site-ul web apache implicit și eroarea încă apare

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.