红帽全球峰会20.8. 在 Apache HTTP 服务器中设置支持的 TLS 协议版本
默认情况下,RHEL 上的 Apache HTTP 服务器使用系统范围的加密策略来定义安全默认值,它们也与最近浏览器兼容。例如,DEFAULT 策略定义 TLSv1.2 和 TLSv1.3 协议版本仅在 apache 中启用。
您可以手动配置 my_company.idm.example.com Apache HTTP 服务器支持哪些 TLS 协议版本。如果您的环境只需要启用特定的 TLS 协议版本,请按照以下步骤操作,例如:
-
如果您的环境要求客户端也可以使用弱
TLS1(TLSv1.0)或TLS1.1协议。 -
如果要配置 Apache 仅支持
TLSv1.2 或TLSv1.3协议。
先决条件
- TLS 加密在 my_company.idm.example.com 服务器上启用,如 将 TLS 加密添加到 Apache HTTP 服务器 中所述。
流程
编辑
/etc/httpd/conf/httpd.conf文件,并将以下设置添加到您要为其设置 TLS 协议版本的<VirtualHost> 指令中。例如,只启用TLSv1.3协议:SSLProtocol -All TLSv1.3重启
httpd服务:# systemctl restart httpd
验证
使用以下命令来验证服务器是否支持
TLSv1.3:# openssl s_client -connect example.com:443 -tls1_3使用以下命令验证服务器不支持
TLSv1.2:# openssl s_client -connect example.com:443 -tls1_2如果服务器不支持该协议,命令会返回一个错误:
140111600609088:error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:ssl/record/rec_layer_s3.c:1543:SSL alert number 70
- 可选:重复用于其他 TLS 协议版本的命令。
其它资源
-
您系统上的
update-crypto-policies (8)手册页 - 使用系统范围的加密策略。
-
有关
SSLProtocol参数的详情,请参考 Apache 手册中的mod_ssl文档: 安装 Apache HTTP 服务器手册。
