ホーム > Linux > 古いLinuxのSSL問題(リバースプロキシ)(update-crypto-policies)

古いLinuxのSSL問題(リバースプロキシ)(update-crypto-policies)

Rocky8なり9(Alma,CentOS,RHELでも)でリバースプロキシで古いCentOS5とか6のHTTPSにリバースプロキシしようとすると、TLSのポリシーが満たされないのでつながらない件
(古いLinuxは残さざるをえないが、SSL/TLSが1.1までしかできないといろいろNGなので、前段にリバースプロキシをおいて、隠蔽しよう作戦のため)
 

 [remote xxx.xxx.xxx.xxx:443] AH01961:  failed to enable ssl support [Hint: if using mod_ssl, see SSLProxyEngine]
 AH00961: https: failed to enable ssl support for xxx.xxx.xxx.xxx:443 (example.jp)

 
 
100点満点かはおいといて暗号化ポリシーを弱く(DEFAULT→LEGACY)することで接続可能
参考URLにあるcurlなどのコマンドも同様

update-crypto-policies --set LEGACY

 
※その他(リバースプロキシApache側の設定)


    SSLEngine on
    SSLCertificateKeyFile   path/to/file
    SSLCertificateFile      path/to/file
    SSLCertificateChainFile path/to/file

    ProxyRequests Off
    SSLProxyEngine On
    SSLProxyVerify none

    ProxyTimeout 600
    ProxyPass           /     https://example.jp/
    ProxyPassReverse    /     https://example.jp/


「example.jp」は「/etc/hosts」ファイルにIPを参照できるようにしておくといいかもね。

<参考URL>
CentOS 8.0にしたらいくつかのURLに error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small でアクセスできなくなった(日々の覚書)

カテゴリー: Linux タグ:
  1. コメントはまだありません。
  1. トラックバックはまだありません。

CAPTCHA