古いLinuxのSSL問題(リバースプロキシ)(update-crypto-policies)
Rocky8なり9(Alma,CentOS,RHELでも)でリバースプロキシで古いCentOS5とか6のHTTPSにリバースプロキシしようとすると、TLSのポリシーが満たされないのでつながらない件
(古いLinuxは残さざるをえないが、SSL/TLSが1.1までしかできないといろいろNGなので、前段にリバースプロキシをおいて、隠蔽しよう作戦のため)
[remote xxx.xxx.xxx.xxx:443] AH01961: failed to enable ssl support [Hint: if using mod_ssl, see SSLProxyEngine] AH00961: https: failed to enable ssl support for xxx.xxx.xxx.xxx:443 (example.jp)
100点満点かはおいといて暗号化ポリシーを弱く(DEFAULT→LEGACY)することで接続可能
参考URLにあるcurlなどのコマンドも同様
update-crypto-policies --set LEGACY
※その他(リバースプロキシApache側の設定)
SSLEngine on SSLCertificateKeyFile path/to/file SSLCertificateFile path/to/file SSLCertificateChainFile path/to/file ProxyRequests Off SSLProxyEngine On SSLProxyVerify none ProxyTimeout 600 ProxyPass / https://example.jp/ ProxyPassReverse / https://example.jp/ 「example.jp」は「/etc/hosts」ファイルにIPを参照できるようにしておくといいかもね。
<参考URL>
CentOS 8.0にしたらいくつかのURLに error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small でアクセスできなくなった(日々の覚書)
カテゴリー: Linux
最近のコメント