Avem două site-uri care rulează pe un singur apache:
www-example1-com, www-example2-com
www-example1-com a fost primul site care a existat, a primit un certificat les-encrypt și funcționează bine.
www-example2-com este al doilea site, care a primit și un certificat les-encrypt.
www-example1-com funcționează bine. www-example2-com provoacă o eroare în Firefox și Chromium
SSL_ERROR_NO_CYPHER_OVERLAP în Firefox
ERR_SSL_VERSION_OR_CIPHER_MISMATCH în Chromium
Ce am facut pana acum:
- Am generat un certificat pentru www-example2
- Am extins certificatul pentru www-example1 pentru a conta și pentru www-example2.
- Am extins exemplul2.conf în /etc/apache2/sites-available prin fragmentul de cod din
https://ssl-config.mozilla.org/
- Am șters cheia și certificatul pentru www.example2 și le-am adunat din nou.
- Am verificat example1-conf, example2-conf, 000-default-le-ssl.conf, apache2.conf
- https://www.ssllabs.com/ssltest/analyze.html?d=example2.com --> Evaluare eșuată: eșuarea comunicării cu serverul securizat
Error.log-ul Apache scoate această linie: [ssl:info] [pid 19288] (70014)Sfârșitul fișierului găsit: [client 192.168.0.9:53597] AH01991: citirea filtrului de intrare SSL a eșuat.
Vă rugăm să rețineți: există un SNI care pare să fie configurat corect, dar nu am acces direct la el.
În fiecare caz, mesajul de eroare nu s-a schimbat.
000-default-le-ssl.conf:
<IfModule mod_ssl.c>
<VirtualHost *:443>
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"
ServerAdmin webmaster@localhost
Protocols h2 h2c http/1.1
DocumentRoot /var/www/html/
ServerName www.example1.com
ServerAlias example1.com
Protocols h2 h2c http/1.1
<Directory /var/www/>
Options -Indexes +FollowSymLinks
AllowOverride all
Order allow,deny
allow from all
</Directory>
# added 01.04.2019 END
<Directory /var/www/html/>
Options -Indexes +FollowSymlinks
AllowOverride All
Require all granted
allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
#SSLEngine off
#Include /etc/letsencrypt/options-ssl-apache.conf
#Header always set Content-Security-Policy upgrade-insecure-requests
Include /etc/letsencrypt/options-ssl-apache.conf
#SSLCertificateFile /etc/letsencrypt/live/www.example2.com/fullchain.pem
#SSLCertificateKeyFile /etc/letsencrypt/live/www.example2.com/privkey.pem
#Include /etc/letsencrypt/options-ssl-apache.conf
SSLCertificateFile /etc/letsencrypt/live/www.example1.com-0001/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.example1.com-0001/privkey.pem
</VirtualHost>
</IfModule>
exemplu2.conf
<VirtualHost *:80>
Protocols h2 http/1.1
ServerAdmin [email protected]
DocumentRoot /var/www/html1/example2/
ServerName www.example2.com
ServerAlias example2.com
<Directory /var/www/html1/example2>
Options -Indexes +FollowSymLinks +MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
RewriteEngine on
RewriteCond %{SERVER_NAME} =www.example2.com [OR]
RewriteCond %{SERVER_NAME} =example2.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>
<IfModule mod_ssl.c>
<VirtualHost *:443>
ServerAdmin [email protected]
Protocols h2 h2c http/1.1
DocumentRoot /var/www/html1/example2
ServerName www.example2.com
ServerAlias example2.com
<Directory /var/www/html1>
Options -Indexes +FollowSymLinks
AllowOverride all
Order allow,deny
allow from all
</Directory>
<Directory /var/www/html1/example2>
Options -Indexes +FollowSymlinks
AllowOverride All
Require all granted
allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
# SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
# SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
# SSLHonorCipherOrder off
# SSLSessionTickets off
#SSLUseStapling On
#SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
Include /etc/letsencrypt/options-ssl-apache.conf
SSLCertificateFile /etc/letsencrypt/live/www.example1.com-0001/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.example1.com-0001/privkey.pem
</VirtualHost>
</IfModule>
Ieșirea lui openssl:
CONECTAT(00000003)
140386018971712:error:14094410:Rutine SSL:ssl3_read_bytes:sslv3 alertă eșec de acordare de mână:../ssl/record/rec_layer_s3.c:1407:SSL alertă numărul 40
---
nu este disponibil niciun certificat de egalitate
---
Nu s-au trimis nume de CA de certificat de client
---
SSL handshake a citit 7 octeți și a scris 198 de octeți
Verificare: OK
---
Nou, (NONE), Cipher este (NIMIC)
Renegocierea sigură NU ESTE acceptată
Compresie: NIMIC
Extindere: NIMIC
Nu s-a negociat ALPN
Sesiune SSL:
Protocol: TLSv1.2
Cifrare: 0000
Sesiune ID:
ID-ul sesiunii-ctx:
Cheia principala:
Identitate PSK: Niciuna
Sugestie de identitate PSK: Niciuna
Nume de utilizator SRP: niciunul
Ora de începere: 1623677307
Timeout: 7200 (sec)
Verificați codul de returnare: 0 (ok)
Secret principal extins: nu
Poate cineva să ajute să găsească eroarea? Vă rog să-mi spuneți dacă aveți nevoie de mai multe informații.
Mulțumesc anticipat.