Балансировщик нагрузки F5 отклоняет набор шифров алгоритма шифрования SHA256?

Question

Я исследую проблему, при которой две конечные точки взаимодействуют по TLSv1.2, а в качестве места назначения используется балансировщик нагрузки F5.Во время рукопожатия клиент-сервер клиент отправил набор комплектов шифров, из которых сервер F5 выбрал следующий шифр для инициирования связи:

Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)

Во второй раз, когда клиент инициировал рукопожатие, F5 отклонил шифрпри проверке комплектов шифров у них не было шифров SHA384:

Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)
Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c)
Cipher Suite: TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 (0xc025)
Cipher Suite: TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 (0xc029)
Cipher Suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x0067)
Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (0x0040)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)
Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)
Cipher Suite: TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA (0xc004)
Cipher Suite: TLS_ECDH_RSA_WITH_AES_128_CBC_SHA (0xc00e)
Cipher Suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x0033)
Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA (0x0032)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)
Cipher Suite: TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
Cipher Suite: TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02d)
Cipher Suite: TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 (0xc031)
Cipher Suite: TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x009e)
Cipher Suite: TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 (0x00a2)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA (0xc008)
Cipher Suite: TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (0xc012)
Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)
Cipher Suite: TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA (0xc003)
Cipher Suite: TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA (0xc00d)
Cipher Suite: TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (0x0016)
Cipher Suite: TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA (0x0013)
Cipher Suite: TLS_EMPTY_RENEGOTIATION_INFO_SCSV (0x00ff)

Я новичок в балансировщиках нагрузки F5 и хотел бы понять, почему F5 не выбирает ни один из комплектов шифрованных SHA256,Где это указано?

Answer 1

Я понял это, перечислив поддерживаемые шифры из строки шифров, сконфигурированной для этого профиля, используя команду

openssl шифры Cipher_string

И у полученных наборов шифров не было ни одного из них, к которому BIGIP был настроен для принятия.

Answer 2

Новичок может выполнить следующие действия:

1. Проверьте версию F5 BIG-IP, а затем прочитайте K13163 , чтобы узнать, какие наборы шифров поддерживаются для этой версии (следуйте инструкциямссылки, если вашей версии нет в этом документе).Это необходимо для того, чтобы узнать, есть ли у вашего клиента и вашего сервера шанс на успешное установление связи.
2. Перейдите на K8802 и перейдите по ссылке Настройка надежности шифрования для профилей SSL для вашей версии F5 BIG-IP.Это ответит на ваш вопрос о том, где он указан.
3. Если вам все еще недостаточно для правильной настройки, вам нужно прочитать K15292 , чтобы узнать, как отладить проблему рукопожатия.(требуется знание SSL).