ZMX - IT技术交流论坛 - 无限Perfect,追求梦想 - itzmx.com

标题: nginx无法启用tls1.3的握手失败解决办法,openssl 1.1.1h bug [打印本页]

作者: 小樱    时间: 2021/5/22 20:08
标题: nginx无法启用tls1.3的握手失败解决办法,openssl 1.1.1h bug
解决办法,升级到1.1.1k

或者改配置
openssl 旧版本
ssl_reject_handshake on;要加上 证书

原(死活TLS1.3握手失败)
server {
                listen       443 ssl http2 default_server;
                listen [::]:443 ssl http2 default_server;
                ssl_reject_handshake on;
}

新(随便配个自签证书解决)
server {
                listen       443 ssl http2 default_server;
                listen [::]:443 ssl http2 default_server;
                ssl_certificate _/_.crt;
                ssl_certificate_key _/_.key;
                ssl_reject_handshake on;
}


关联问题:
https://trac.nginx.org/nginx/ticket/2073
https://trac.nginx.org/nginx/ticket/2071


2022年4月19日补充
原(死活TLS1.3握手失败)
server {
  listen 443 ssl http2 default_server;
  listen [::]:443 ssl http2 default_server;
  ssl_reject_handshake on;
}
新(指向一个自带证书解决)
server {
  listen 443 ssl http2 default_server;
  listen [::]:443 ssl http2 default_server;
  ssl_reject_handshake on;
  ssl_stapling off;
  ssl_certificate /usr/share/doc/perl-IO-Socket-SSL/certs/server-ecc-cert.pem;
  ssl_certificate_key /usr/share/doc/perl-IO-Socket-SSL/certs/server-ecc-key.pem;
}

如果没有证书
dnf install perl-File-ShareDir


作者: 不可名    时间: 2021/7/19 03:12





欢迎光临 ZMX - IT技术交流论坛 - 无限Perfect,追求梦想 - itzmx.com (https://bbs.itzmx.com/) Powered by Discuz! X3.4