Red Hat Training

A Red Hat training course is available for RHEL 8

60.8. 在 Apache HTTP 服务器中设置支持的 TLS 协议版本

默认情况下,RHEL 8 上的 Apache HTTP 服务器使用系统范围的加密策略来定义安全默认值,这些默认值与当前的浏览器兼容。例如,DEFAULT 策略 定义 apache 中仅启用 TLSv1.2TLSv1.3 协议版本。

本节论述了如何手动配置您的 my_company.idm.example.com Apache HTTP 服务器支持的 TLS 协议版本。如果您的环境只需要启用特定的 TLS 协议版本,请按照以下步骤操作,例如:

  • 如果您的环境要求客户端也可以使用弱 TLS1 (TLSv1.0)或 TLS1.1 协议。
  • 如果要配置 Apache 仅支持 TLSv1.2 或 TLSv1.3 协议。

先决条件

流程

  1. 编辑 /etc/httpd/conf/httpd.conf 文件,并将以下设置添加到您要为其设置 TLS 协议版本的 <VirtualHost> 指令中。例如,只启用 TLSv1.3 协议:

    SSLProtocol -All TLSv1.3
  2. 重启 httpd 服务:

    # systemctl restart httpd

验证步骤

  1. 使用以下命令来验证服务器是否支持 TLSv1.3:

    # openssl s_client -connect example.com:443 -tls1_3
  2. 使用以下命令验证服务器不支持 TLSv1.2

    # openssl s_client -connect example.com:443 -tls1_2

    如果服务器不支持该协议,命令会返回一个错误:

    140111600609088:error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:ssl/record/rec_layer_s3.c:1543:SSL alert number 70
  3. 可选:重复用于其他 TLS 协议版本的命令。

其它资源