小樱 发表于 2015/1/5 14:35

kangle配置3311关闭HTTPS证书的SSL V3协议,单独用TLSv1.2 cipher算法protocols协议 不允许RC4加密


cipher算法: EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA AES256 RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS
protocols协议: TLSv1 TLSv1.1 TLSv1.2 SSLv3
比如要禁用sslv3,protocols就写 TLSv1 TLSv1.1 TLSv1.2
参考nginx和apache的这两个值。
一样的意思。
实验性支持spdy/3协议
protocols 写 "TLSv1 TLSv1.1 TLSv1.2"
不带引号


不允许RC4加密
EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA AES256 RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4


允许RC4加密,但是仅用作最后的备用加密手段
EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA AES256 RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS +RC4 RC4


2021年12月15日补充
测试 kangle 3.5.21.16,默认值为TLSv1 TLSv1.1 TLSv1.2 TLSv1.3,已经自动禁用SSLv3
如果无特殊需求情况,cipher和protocols一帮情况请留空

生生 发表于 2015/1/5 14:35

nani 发表于 2016/6/18 09:47

小樱同志,我用了你的方法,好像不行啊?你图上的路径下,没有这2个文件,在网站根目录上,就有ssl.crt 和ssl.key。。。。请问这怎么弄?我尝试把这两个文件考到你图片上的目录/etc/ssl/下面,但设置完之后,再去测试,发现还有SSL v3的存在

nani 发表于 2016/6/18 11:17

好像不起作用,是不是只有商业版能用?

小樱 发表于 2016/6/18 15:08

nani 发表于 2016/6/18 11:17
好像不起作用,是不是只有商业版能用?

这个只有在3311添加的证书才能这样吧。

nani 发表于 2016/6/18 19:52

小樱 发表于 2016/6/18 15:08
这个只有在3311添加的证书才能这样吧。

啊?你试过成功了吗?这3311证书哪里有哦?商业版的有吗?或者说,这跟一些服务器有点关系?有些服务器是有关闭SSLV3的。。但我想,kangle好像已经集成apache在里面了,所以。。

有什么其它办法吗?

小樱 发表于 2016/6/18 20:36

nani 发表于 2016/6/18 19:52
啊?你试过成功了吗?这3311证书哪里有哦?商业版的有吗?或者说,这跟一些服务器有点关系?有些服务器是 ...

kangle和apache是完全不同的同类软件。证书你自己放在个文件就可以了啊。用3311开的时候 3312不要监听443s

nani 发表于 2016/6/18 21:55

小樱 发表于 2016/6/18 20:36
kangle和apache是完全不同的同类软件。证书你自己放在个文件就可以了啊。用3311开的时候 3312不要监听443 ...

但3312里,去掉443s端口之后,就访问不到https网站了啊

小樱 发表于 2016/6/18 22:26

nani 发表于 2016/6/18 21:55
但3312里,去掉443s端口之后,就访问不到https网站了啊

然后在去3311,添加监听,填写证书路径,监听https端口443s就可以了

nani 发表于 2016/6/18 22:42

小樱 发表于 2016/6/18 22:26
然后在去3311,添加监听,填写证书路径,监听https端口443s就可以了

试了下,好像不行哦,拒绝访问!{:129:} 你试过可以吗?

小樱 发表于 2016/6/18 22:46

nani 发表于 2016/6/18 22:42
试了下,好像不行哦,拒绝访问! 你试过可以吗?

拒绝访问==!?

nani 发表于 2016/6/18 22:49

在kangle中的虚拟主机设置里面,也有cophier的算法,但是填写之后,提示是无法修改的,需要修改外部,郁闷

nani 发表于 2016/6/18 22:54

小樱 发表于 2016/6/18 22:46
拒绝访问==!?


是的,图上 填的看有问题吗?443和443s我都试了,一样哦

小樱 发表于 2016/6/18 23:31

nani 发表于 2016/6/18 22:54
是的,图上 填的看有问题吗?443和443s我都试了,一样哦

cipher留空看看?

nani 发表于 2016/6/19 08:36

小樱 发表于 2016/6/18 23:31
cipher留空看看?

试了,还是不行

小樱 发表于 2016/6/19 14:29

nani 发表于 2016/6/19 08:36
试了,还是不行

昨晚有点模糊,刚看到你上面的图,路径错了,Linux要写绝对路径,最前方要一个/

nani 发表于 2016/6/19 20:34

小樱 发表于 2016/6/19 14:29
昨晚有点模糊,刚看到你上面的图,路径错了,Linux要写绝对路径,最前方要一个/

昨晚也试过的,不行,还是打不开。。你应该也试过。。。另外我想问问,直接在kangle后台的虚拟主机里,设置cophier,但提交之后显示的是无法加入到vh.xml里面,我想问下这vh.xml在哪里,怎么找不到

小樱 发表于 2016/6/20 12:31

nani 发表于 2016/6/19 20:34
昨晚也试过的,不行,还是打不开。。你应该也试过。。。另外我想问问,直接在kangle后台的虚拟主机里,设 ...

就是vhs.db。我这测试过都是没问题的。

小樱 发表于 2016/6/20 12:39

nani 发表于 2016/6/19 20:34
昨晚也试过的,不行,还是打不开。。你应该也试过。。。另外我想问问,直接在kangle后台的虚拟主机里,设 ...

编辑器可以用http://bbs.itzmx.com/thread-10798-1-1.html

wkl17 发表于 2017/3/1 22:20

我启用了SNI了,但同一台Kangle部署两个站点(一个cdn,一个普通站点),都是https,但第2个站点打开后 证书有问题,竟然是第一个站点的证书。
感觉就像是SNI没有生效。不知道站主 是否遇到过这样的情况?

wkl17 发表于 2017/3/1 22:23

另外,刚进论坛时,有一个 5秒的验证。貌似看到站长在疼训qcloud论坛的帖子说是百度云的CC(?)防御功能?不知道是否有相关的软件 可以实现类似效果?

小樱 发表于 2017/3/1 23:17

wkl17 发表于 2017/3/1 22:23
另外,刚进论坛时,有一个 5秒的验证。貌似看到站长在疼训qcloud论坛的帖子说是百度云的CC(?)防御功能?不 ...

你在国外么。。嗯,比如说kangle可以自己写规则来实现。

wkl17 发表于 2017/3/2 00:12

小樱 发表于 2017/3/1 23:17
你在国外么。。嗯,比如说kangle可以自己写规则来实现。

是的。只有国外IP 会有那个5秒的等待验证?

小樱 发表于 2017/3/2 00:19

wkl17 发表于 2017/3/2 00:12
是的。只有国外IP 会有那个5秒的等待验证?

网站把国外用户解析到百度云加速。
页: [1]
查看完整版本: kangle配置3311关闭HTTPS证书的SSL V3协议,单独用TLSv1.2 cipher算法protocols协议 不允许RC4加密