Я пытаюсь проверить поддержку TLSv1.3, и Apache не может начать со следующего вывода из systemctl status httpd
...
systemd[1]: Starting The Apache HTTP Server...
httpd[6001]: AH00526: Syntax error on line 100 of /etc/httpd/conf/httpd.conf:
httpd[6001]: SSLProtocol: Illegal protocol 'TLSv1.3'
systemd[1]: httpd.service: main process exited, code=exited, status=1/FAILURE
systemd[1]: Failed to start The Apache HTTP Server.
systemd[1]: Unit httpd.service entered failed state.
systemd[1]: httpd.service failed.
Я нахожусь на EC2 и использую Amazon Linux 2,который ограничен OpenSSL 1.0.2k, поэтому я вручную загрузил и скомпилировал OpenSSL 1.1.1b и установил его в / usr / local / openssl / , оставив исходный файл без изменений.Чтобы убедиться, что новый используется в будущем, я предпринял следующие шаги ...
Создано / etc / ld.so / conf.d / openssl.conf с /usr/local/openssl/lib
в качестве содержимого, затем запустил ldconfig -v
для его обновления.
Создано / etc / profile.d / openssl.sh со следующим содержимым...
#Set OPENSSL_PATH
OPENSSL_PATH="/usr/local/openssl/bin"
export OPENSSL_PATH
PATH=$PATH:$OPENSSL_PATH
export PATH
... и запустил source /etc/profile.d/openssl.sh
для его обновления.
Я могу подтвердить, что which openssl
правильно указывает на /usr/local/openssl/bin/openssl
и поддержка TLSv1.3 при использовании /usr/local/openssl/bin/openssl ciphers -V -tls1_3 -s
...
0x13,0x02 - TLS_AES_256_GCM_SHA384 TLSv1.3 Kx=any Au=any Enc=AESGCM(256) Mac=AEAD
0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any Au=any Enc=CHACHA20/POLY1305(256) Mac=AEAD
0x13,0x01 - TLS_AES_128_GCM_SHA256 TLSv1.3 Kx=any Au=any Enc=AESGCM(128) Mac=AEAD
Запуск openssl version -a
приводит к следующему ...
OpenSSL 1.1.1b 26 Feb 2019
built on: Wed May 15 15:07:48 2019 UTC
platform: linux-x86_64
options: bn(64,64) rc4(16x,int) des(int) idea(int) blowfish(ptr)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -O3 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DX25519_ASM -DPADLOCK_ASM -DPOLY1305_ASM -DZLIB -DNDEBUG
OPENSSLDIR: "/usr/local/openssl"
ENGINESDIR: "/usr/local/openssl/lib/engines-1.1"
Seeding source: os-specific
В настоящее время я использую Apache v2.4.39, который должен поддерживать TLSv1.3, и связанные с SSL директивы в моем httpd.conf
настроены следующим образом:
### SSL CONFIGURATION
# Session settings
SSLSessionCache shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout 300
SSLProtocol -all +TLSv1.3 +TLSv1.2
SSLProxyProtocol -all +TLSv1.3 +TLSv1.2
SSLCipherSuite TLSv1.3 TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256
SSLCipherSuite SSL ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off
# OpenSSL Configuration Commands
SSLOpenSSLConfCmd DHParameters /etc/ssl/dhparam.pem
SSLOpenSSLConfCmd Curves X25519:secp521r1:secp384r1:prime256v1
# Pseudo Random Number Generator (PRNG):
SSLRandomSeed startup file:/dev/urandom 256
SSLRandomSeed connect builtin
# SSL Crypto Device
SSLCryptoDevice builtin
# HSTS / Header Strict Transport Security
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options SAMEORIGIN
Header always set X-Content-Type-Options nosniff
# Online Certificate Status Protocol (OCSP) Stapling
SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
Наконец, я попытался удалить Apache (через Yum) и переустановить его (черезНям), но это, казалось, имело нулевой эффект.
Я все еще относительно новичок в компиляции из исходных текстов, поэтому я просто не уверен, когда это требуется, кроме обстоятельств, как у нас с версиями OpenSSL, поэтому я не уверен, что причина, по которой я нажимаюэта стена состоит в том, что мне нужно перекомпилировать httpd из исходного кода и вручную указать новое местоположение OpenSSL или что?
Любая помощь будет принята с благодарностью!