#ssl #n&inx #curl #https
#ssl #n&inx #curl #https
Вопрос:
N&inx. Я не могу получить доступ к своему приложению NodeJS, прослушивающему порт 3000 через https. Я могу сделать это через http. https://www.modelistas.tk:3000/api/status выдает ошибку. Я пробовал с curl
Подробный вывод:
root@ip-172-31-50-215:/opt/letsencrypt# curl -v -k https://modelistas.tk:3000/api/status
* Tryin& 72.44.61.151...
* TCP_NODELAY set
* Connected to modelistas.tk (72.44.61.151) port 3000 (#0)
* ALPN, offerin& h2
* ALPN, offerin& http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* error:1408F10B:SSL routines:ssl3_&et_record:wron& version number
* stopped the pause stream!
* Closin& connection 0
curl: (35) error:1408F10B:SSL routines:ssl3_&et_record:wron& version number
Моя конфигурация N&inx по умолчанию
server {
listen 80 default_server;
listen [::]:80 default_server;
# Añadimos que escuche en el puerto 443 SSL:
listen 443 ssl;
# SSL confi&uration
#
# listen 443 ssl default_server;
# listen [::]:443 ssl default_server;
#
# Note: You should disable &zip for SSL traffic.
# See: https://bu&s.debian.or&/773332
#
# Read up on ssl_ciphers to ensure a secure confi&uration.
# See: https://bu&s.debian.or&/765782
#
# Self si&ned certs &enerated by the ssl-cert packa&e
# Don't use them in a production server!
#
# include snippets/snakeoil.conf;
# AGREGADO Carpeta raiz de este servidor :
root /var/www/www.modelistas.tk/public;
# Add index.php to the list if you are usin& PHP
index index.html index.htm;
# AGREGADO
server_name www.modelistas.tk modelistas.tk;
location / {
# First attempt to serve request as file, then
# as directory, then fall back to displayin& a 404.
try_files $uri $uri/ =404;
}
# deny access to .htaccess files, if Apache's document root
# concurs with n&inx's one
#
#a&re&ado
location ~ /.ht {
deny all;
}
location ~ /.well-known {
allow all;
}
location /api {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-N&inX-Proxy true;
proxy_pass http://localhost:3000/;
proxy_ssl_session_reuse off;
proxy_set_header Host $http_host;
proxy_cache_bypass $http_up&rade;
proxy_redirect off;
}
# Confi&uracion del certificado SSL de letsencrypt
ssl_certificate /etc/letsencrypt/live/modelistas.tk/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/modelistas.tk/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# Cipher Suites disponibles:
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
# Uso de &rupo Diffie-Hellman
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_staplin& on;
ssl_staplin&_verify on;
add_header Strict-Transport-Security max-a&e=15768000;
}
server {
listen 80;
server_name modelistas.ml www.modelistas.tk;
return 301 https://$host$request_uri;
}
Ответ №1:
Согласно сообщению об ошибке, у вас нет TLSv1.3 на сервере. Обновите n&inx conf для поддержки TLSv1.3.
ssl_protocols TLSv1, TLSv1.1, TLSv1.2, TLSv1.3;
Или вы могли бы указать, что curl понижает рейтинг и использует TLSv1.2 (или все, что поддерживает сервер) с помощью этой опции.
—tlsv1.2
Также:
Вы подключаетесь к ssl / tls через порт 3000. И на этом порту нет TLS. Подключитесь к 443, поскольку это то, что настроено. проверьте, находитесь ли вы за прокси-сервером
Комментарии:
1. Первая конфигурация не работает. и секунды, имеет ту же ошибку. curl -v -k —tlsv1.2 modelistas.tk:3000/api/status Пытается установить 72.44.61.151 TCP_NODELAY * Подключен к modelistas.tk (72.44.61.151) порт 3000 (# 0) * ALPN, предлагающий h2 * ALPN, предлагающий http / 1.1 * успешно установлены местоположения для проверки сертификата: * CAfile: /etc/ssl/certs/ca-certificates.crt CApath: /etc/ssl/certs * TLSv1.2 (OUT), TLS handshake, клиентский привет (1): * ошибка: 1408F10B: процедуры SSL: ssl3_&et_record: неверный номер версии curl: (35) ошибка: 1408F10B: процедуры SSL: ssl3_&et_record: неверный номер версии
2. вы используете прокси-сервер?
3. Подключитесь к 443. У вас нет TLS на 3000