наша компания настроена на nginx / 1.10.3 в Ubuntu 16.04 с tls взаимной аутентификацией через порт 9002 через strongswan vpn с другой компанией;CSR был сгенерирован с openssl в соответствии с руководством digicert nginx и подписан с CA от компании-клиента.
Кажется, что рукопожатие tls работает и терпит неудачу с успехом один раз в десятки попыток.Я установил дамп tcp, и во время сбоя я замечаю только приветствие клиента и отсутствие приветствия сервера, а затем несколько повторных передач от клиента до сброса сокета.Когда я перехватываю только с портом 9002, я не замечаю никакого трафика во время сбоя, пока не добавлю порт 12120 в фильтр.Нет никаких подтверждений от сервера.
Нет определенного шаблона для успешных запросов.Я отключил проверку SSL с сервера, но он все еще не работает.Что может пойти не так, что вызывает это?Вот ссылка на tcp dump как с успехом (№ 3), так и с ошибкой (№ 102 и 109), а ниже находится сервер конфигурации nginx
server {
listen 9002 ssl;
server_name ******;
ssl_certificate /etc/ssl/******.crt;
ssl_certificate_key /etc/ssl/******.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 1h;
ssl_buffer_size 4k;
access_log /var/log/nginx/nginx.vhost.access_prod.log;
error_log /var/log/nginx/nginx.vhost.error_prod.log;
location /payments-prod {
proxy_pass http://*******;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_connect_timeout 150;
proxy_send_timeout 100;
proxy_read_timeout 100;
proxy_buffers 4 32k;
}
}