不涉及
登录防火墙web界面提示“SSL_ERROR_NO_CYPHER_OVERLAP”,更换电脑与浏览器无果。
查看配置,现场配置了ssl服务器端策略:
关键配置如下:
ip https ssl-server-policy fxm
#
ssl server-policy test
pki-domain test
ciphersuite ecdhe_rsa_aes_128_cbc_sha256 ecdhe_ecdsa_aes_128_cbc_sha256 ecdhe_ecdsa_aes_256_cbc_sha384 ecdhe_ecdsa_aes_128_gcm_sha256
抓包查看,客户端发送“Server Hello”后,服务器侧直接回应握手失败。
查看防火墙本地证书的情况,发现为RSA签名证书。
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 0 (0x0)
Signature Algorithm: sha256WithRSAEncryption
Issuer: CN=HTTPS-Self-Signed-Certificate-893300432ba7ef33
Validity
Not Before: Aug 24 07:07:03 2020 GMT
Not After : Aug 19 07:07:03 2040 GMT
Subject: CN=HTTPS-Self-Signed-Certificate-893300432ba7ef33
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
分析:RSA签名证书无法使用DSA的加密算法,现场的ssl服务器端策略内大部分都是DSA的算法,无法和客户端提供的算法列表匹配,导致协商失败。
ssl服务器端策略中添加RSA算法。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作