我使用自訂內部身份驗證伺服器。隨著上一輪更新,它開始出現問題,顯然是由於密碼的變化。這是在 CentOS6 機器上,已完全更新。
curl https://crowd.test.org:8443 \
--cacert /etc/pki/ca-trust/source/anchors/ca.crt \
-vvv
* About to connect() to crowd.test.org port 8443 (#0)
* Trying 192.XXX.XXX.XXX... connected
* Connected to crowd.test.org (192.XXX.XXX.XXX) port 8443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/ca-trust/source/anchors/ca.crt
CApath: none
* NSS error -12173
* Closing connection #0
* SSL connect error
curl: (35) SSL connect error
You have mail in /var/mail/root
我檢查了 nmap 並發現了受支援的密碼 TLS_DHE_RSA_WITH_AES_128_CBC_SHA。在curl網站上檢查了這一點,發現以下確實有效。
curl https://crowd.mydomain.org:8443 --cacert \
/etc/pki/ca-trust/source/anchors/ca2.crt \
-vvv --tlsv1.0 --ciphers rsa_aes_128_sha
我該如何修正這個問題?我已經使用了傳統上使用的降級方法,但沒有成功。
yum history
yum history undo 106
答案1
基於https://mozilla.github.io/python-nss-docs/nss.error-module.html看起來這表示伺服器的臨時 Diffie-Hellman 金鑰較弱:
SSL_ERROR_WEAK_SERVER_EPHEMERAL_DH_KEY = -12173
我在伺服器上看到過這個錯誤,確實是這樣。