全球主机交流论坛

标题: 兄弟们遇到怪事了,nginx配置ssl证书浏览器不受支持协议 [打印本页]
作者: heihai    时间: 2024-4-30 00:01
标题: 兄弟们遇到怪事了,nginx配置ssl证书浏览器不受支持协议
本帖最后由 heihai 于 2024-4-30 09:47 编辑

服务器部署了acme.sh申请泛域名证书,并且安装到指定目录
/root/.acme.sh/acme.sh --install-cert -d '*.xxxxx.xyz' --key-file /data/https/xxxxx.key --fullchain-file /data/https/xxxxx.cer

nginx配置证书
    ssl_certificate /data/https/xxxxx.cer;
    ssl_certificate_key /data/https/xxxxx.key;
    ssl_protocols TLSv1.3 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
    ssl_ecdh_curve secp384r1;
    ssl_session_cache   shared:SSL:50m;
    ssl_session_timeout 4h;

但是访问的时候报错,这啥问题啊有大屌知道吗
xxxx.xyz 使用了不受支持的协议。
ERR_SSL_VERSION_OR_CIPHER_MISMATCH


————————————————————————————————————————————————————
更新1
试了一下注释全部ssl配置,只留下证书秘钥路径,还是报这个错,所以跟配置应该是没关系的,
后面再试试升级openssl、重新生成证书试试


————————————————————————————————————————————————————
更新2
nginx重新指定openssl3.0编译之后,就好了,原来服务器自带的是1.0.2k-26.el7_9.aarch64,ssl版本太低了所以导致这个问题,
另外编译的时候还要提前安装perl-CPAN依赖包,再去perl shell里面安装IPC/Cmd.pm模块,不然报错



一二三转身起飞~
作者: 幽影寻秋    时间: 2024-4-30 00:03
问gpt
作者: txjcv    时间: 2024-4-30 00:03
不兼容?
作者: heihai    时间: 2024-4-30 00:22
txjcv 发表于 2024-4-30 00:03
不兼容?

问题是不知道哪儿不兼容



一二三转身起飞~
作者: iks    时间: 2024-4-30 00:29
  1. ssl_certificate /path/to/signed_cert_plus_intermediates;
  2.     ssl_certificate_key /path/to/private_key;
  3.     ssl_session_timeout 1d;
  4.     ssl_session_cache shared:MozSSL:10m;  # about 40000 sessions
  5.     ssl_session_tickets off;

  7.     # curl https://ssl-config.mozilla.org/ffdhe2048.txt > /path/to/dhparam
  8.     ssl_dhparam /path/to/dhparam;

  10.     # intermediate configuration
  11.     ssl_protocols TLSv1.2 TLSv1.3;
  12.     ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305;
  13.     ssl_prefer_server_ciphers off;
复制代码
作者: HOH    时间: 2024-4-30 00:31
设置cipher就是在没事找事
作者: icon    时间: 2024-4-30 00:35
配置文件最小化,不要加那么多东西
作者: 盖茨    时间: 2024-4-30 00:43
你手上应该有很多vps吧,有用lnmp安装的吗,参考一下里面的配置啊。
作者: heihai    时间: 2024-4-30 09:47
兄弟们,解决了



它们什么都知道,它们本就是故意的
我什么也做不了




欢迎光临 全球主机交流论坛 (https://loc.isir333.eu.org/) Powered by Discuz! X3.4