kangle配置3311关闭HTTPS证书的SSL V3协议，单独用TLSv1.2 cipher算法protocols协议 不允许RC4加密

小樱

cipher算法: EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA AES256 RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS
protocols协议: TLSv1 TLSv1.1 TLSv1.2 SSLv3
比如要禁用sslv3，protocols就写 TLSv1 TLSv1.1 TLSv1.2
参考nginx和apache的这两个值。
一样的意思。
实验性支持spdy/3协议
protocols 写 "TLSv1 TLSv1.1 TLSv1.2"
不带引号


不允许RC4加密

1. EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA AES256 RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4

复制代码

允许RC4加密，但是仅用作最后的备用加密手段

1. EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA AES256 RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS +RC4 RC4

复制代码

2021年12月15日补充
测试 kangle 3.5.21.16，默认值为TLSv1 TLSv1.1 TLSv1.2 TLSv1.3，已经自动禁用SSLv3
如果无特殊需求情况，cipher和protocols一帮情况请留空

nani

小樱同志，我用了你的方法，好像不行啊？你图上的路径下，没有这2个文件，在网站根目录上，就有ssl.crt 和ssl.key。。。。请问这怎么弄？我尝试把这两个文件考到你图片上的目录/etc/ssl/下面，但设置完之后，再去测试，发现还有SSL v3的存在

nani

好像不起作用，是不是只有商业版能用？

小樱

nani 发表于 2016/6/18 11:17
好像不起作用，是不是只有商业版能用？

这个只有在3311添加的证书才能这样吧。

nani

小樱 发表于 2016/6/18 15:08
这个只有在3311添加的证书才能这样吧。

啊？你试过成功了吗？这3311证书哪里有哦？商业版的有吗？或者说，这跟一些服务器有点关系？有些服务器是有关闭SSLV3的。。但我想，kangle好像已经集成apache在里面了，所以。。

有什么其它办法吗？

小樱

nani 发表于 2016/6/18 19:52
啊？你试过成功了吗？这3311证书哪里有哦？商业版的有吗？或者说，这跟一些服务器有点关系？有些服务器是 ...

kangle和apache是完全不同的同类软件。证书你自己放在个文件就可以了啊。用3311开的时候 3312不要监听443s

nani

小樱 发表于 2016/6/18 20:36
kangle和apache是完全不同的同类软件。证书你自己放在个文件就可以了啊。用3311开的时候 3312不要监听443 ...

但3312里，去掉443s端口之后，就访问不到https网站了啊

小樱

nani 发表于 2016/6/18 21:55
但3312里，去掉443s端口之后，就访问不到https网站了啊

然后在去3311，添加监听，填写证书路径，监听https端口443s就可以了

nani

小樱 发表于 2016/6/18 22:26
然后在去3311，添加监听，填写证书路径，监听https端口443s就可以了

试了下，好像不行哦，拒绝访问！ 你试过可以吗？

小樱

nani 发表于 2016/6/18 22:42
试了下，好像不行哦，拒绝访问！ 你试过可以吗？

拒绝访问==！？

nani

在kangle中的虚拟主机设置里面，也有cophier的算法，但是填写之后，提示是无法修改的，需要修改外部,郁闷

nani

小樱 发表于 2016/6/18 22:46
拒绝访问==！？

是的，图上 填的看有问题吗？443和443s我都试了，一样哦

小樱

nani 发表于 2016/6/18 22:54
是的，图上 填的看有问题吗？443和443s我都试了，一样哦

cipher留空看看？

nani

小樱 发表于 2016/6/18 23:31
cipher留空看看？

试了，还是不行

小樱

nani 发表于 2016/6/19 08:36
试了，还是不行

昨晚有点模糊，刚看到你上面的图，路径错了，Linux要写绝对路径，最前方要一个/

nani

小樱 发表于 2016/6/19 14:29
昨晚有点模糊，刚看到你上面的图，路径错了，Linux要写绝对路径，最前方要一个/

昨晚也试过的，不行，还是打不开。。你应该也试过。。。另外我想问问，直接在kangle后台的虚拟主机里，设置cophier，但提交之后显示的是无法加入到vh.xml里面，我想问下这vh.xml在哪里，怎么找不到

小樱

nani 发表于 2016/6/19 20:34
昨晚也试过的，不行，还是打不开。。你应该也试过。。。另外我想问问，直接在kangle后台的虚拟主机里，设 ...

就是vhs.db。我这测试过都是没问题的。

小樱

nani 发表于 2016/6/19 20:34
昨晚也试过的，不行，还是打不开。。你应该也试过。。。另外我想问问，直接在kangle后台的虚拟主机里，设 ...

编辑器可以用http://bbs.itzmx.com/thread-10798-1-1.html

wkl17

我启用了SNI了，但同一台Kangle部署两个站点（一个cdn，一个普通站点），都是https，但第2个站点打开后 证书有问题，竟然是第一个站点的证书。
感觉就像是SNI没有生效。不知道站主 是否遇到过这样的情况？

wkl17

另外，刚进论坛时，有一个 5秒的验证。貌似看到站长在疼训qcloud论坛的帖子说是百度云的CC(?)防御功能？不知道是否有相关的软件 可以实现类似效果？

小樱

wkl17 发表于 2017/3/1 22:23
另外，刚进论坛时，有一个 5秒的验证。貌似看到站长在疼训qcloud论坛的帖子说是百度云的CC(?)防御功能？不 ...

你在国外么。。嗯，比如说kangle可以自己写规则来实现。

wkl17

小樱 发表于 2017/3/1 23:17
你在国外么。。嗯，比如说kangle可以自己写规则来实现。

是的。只有国外IP 会有那个5秒的等待验证？

小樱

wkl17 发表于 2017/3/2 00:12
是的。只有国外IP 会有那个5秒的等待验证？

网站把国外用户解析到百度云加速。