사용자 정의 내부 인증 서버를 사용합니다. 마지막 업데이트에서는 암호 변경으로 인해 문제가 발생하기 시작했습니다. 이것은 완전히 업데이트된 CentOS6 상자에 있습니다.
curl https://crowd.test.org:8443 \
--cacert /etc/pki/ca-trust/source/anchors/ca.crt \
-vvv
* About to connect() to crowd.test.org port 8443 (#0)
* Trying 192.XXX.XXX.XXX... connected
* Connected to crowd.test.org (192.XXX.XXX.XXX) port 8443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/ca-trust/source/anchors/ca.crt
CApath: none
* NSS error -12173
* Closing connection #0
* SSL connect error
curl: (35) SSL connect error
You have mail in /var/mail/root
nmap을 확인하고 지원되는 암호인 TLS_DHE_RSA_WITH_AES_128_CBC_SHA를 찾았습니다. 컬 사이트에서 이것을 확인한 결과 다음이 실제로 작동하는 것을 발견했습니다.
curl https://crowd.mydomain.org:8443 --cacert \
/etc/pki/ca-trust/source/anchors/ca2.crt \
-vvv --tlsv1.0 --ciphers rsa_aes_128_sha
이 문제를 어떻게 수정합니까? 나는 전통적으로 성공하지 못한 채 사용했던 다운그레이드 방법을 이미 사용했습니다.
yum history
yum history undo 106
답변1
기반https://mozilla.github.io/python-nss-docs/nss.error-module.html이는 서버에 약한 임시 Diffie-Hellman 키가 있다는 신호인 것 같습니다.
SSL_ERROR_WEAK_SERVER_EPHEMERAL_DH_KEY = -12173
서버에서 이 오류를 본 적이 있는데 실제로 그랬습니다.