1. Zuhause
  2. Frage und Antwort
  3. Nginx ALPN Support - Online-Test sind korrekt?

Nginx ALPN Support - Online-Test sind korrekt?

2017-04-24 2 views
-1

Ich überprüfe ALPN Unterstützung auf NGINX mit spätester libressl 2.5.3. Ich glaube, ich habe alles richtig eingestellt, aber wenn ich versuche testen aus:Nginx ALPN Support - Online-Test sind korrekt?

https://tools.keycdn.com/http2-test

Sag mir: Ja! DOMAIN unterstützt HTTP/2,0

"ALPN is not supported"

Stattdessen, wenn ich versuche lokal mit opnessl zu testen, können wir sehen, ALPN mit Version h2 korrekt ist

#openssl s_client -alpn h2 -connect domain:port | grep ALPN 
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3 
verify return:1 
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 
verify return:1 
depth=0 CN = fbrqx.com 
verify return:1 
ALPN protocol: h2

Was ich falsch mache?

Sind die von keycdn bereitgestellten Informationen korrekt?

Danke.

Ricardo/Brqx.

Quelle

2017-04-24 Ricardo Cabello Torres - Brqx

+0

Stack Overflow ist eine Website für Programmier- und Entwicklungsfragen. Diese Frage scheint off-topic zu sein, weil es nicht um Programmierung oder Entwicklung geht. Siehe [Welche Themen kann ich hier fragen?] (Http://stackoverflow.com/help/on-topic) in der Hilfe. Vielleicht [Super User] (http://superuser.com/) oder [Unix & Linux Stack Exchange] (http://unix.stackexchange.com/) wäre ein besserer Ort, um zu fragen.Siehe auch [Wo poste ich Fragen zu Dev Ops?] (Http://meta.stackexchange.com/q/134306) – jww

+0

Anstatt zu sagen, ist nicht nützlich, warum Sie nicht sehen, ist eine Frage mit einer sehr nützlichen Lösung . Was ist natürlich nicht der richtige Ort, aber für Menschen ist es komplex, den richtigen Ort zu kennen. Was mehr Wert hat, als eine gute Lösung ist, hilft anderen Benutzern sehr. –

+0

Die Frage kann für andere nützlich sein, aber für diese Site ist das Thema nicht relevant. Legen Sie es auf eine Website, wo es am Thema ist. Du hast zwei Seiten bekommen, wo das Thema wahrscheinlich war. Sie könnten auch an der [Hilfe] (https://stackoverflow.com/help) interessiert sein, wo diese Dinge im Detail besprochen werden. – jww

Antwort

-1

Heute keycdn funktioniert und sagen uns ALPN wird unterstützt.

Hier können wir Libressl Informationen sehen (so mit 2.5.3-Version [April 2017] Sie openssl testen können):

openssl version -a 
LibreSSL 2.5.3 
built on: date not available 
platform: information not available 
options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) 
compiler: information not available 
OPENSSLDIR: "/PATH/libressl/libressl-2.5.3/.openssl/etc/ssl"

Wie Server testen:

1.From Server (mit OpenSSL Client)

openssl s_client -alpn h2 -connect DOMAIN:PORT -status 

New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256 
Server public key is 2048 bit 
Secure Renegotiation IS supported 
Compression: NONE 
Expansion: NONE 
ALPN protocol: h2 
SSL-Session: 
    Protocol : TLSv1.2 
    Cipher : ECDHE-RSA-AES128-GCM-SHA256 
    Session-ID: 1FB23766E93F4983F3218F3E1C0058947DD60BEEB414CA50BDDF9009299A273B 
    Session-ID-ctx: 
    Master-Key: BBCC316C78C85C90066F660A5C1018F5F71CEADFF13AC406758BA06B0D07A5FFCF21395657CFF1B42760C371EE70281D 
    TLS session ticket lifetime hint: 300 (seconds) 
    TLS session ticket: 
    0000 - 06 48 61 b7 a7 63 23 ad-6a cf f9 47 39 49 c0 1a .Ha..c#.j..G9I.. 
    0010 - b3 04 db ea 02 2e 46 a9-9a 6b 02 de b5 e9 bb c4 ......F..k...... 
    0020 - 68 71 ba b2 62 27 08 76-f0 cb cb e6 e5 7d 4a 50 hq..b'.v.....}JP 
    0030 - f8 4d 40 24 2a 35 2a 7e-03 5b bc 27 73 7d 1a 14 [email protected]$*5*~.[.'s}.. 
    0040 - f3 86 9d d9 33 42 49 c7-93 28 a0 f9 e3 4a cb 93 ....3BI..(...J.. 
    0050 - 4d e7 43 bf 8d 8b 9d 3b-06 47 04 77 ca ca 0b 56 M.C....;.G.w...V 
    0060 - fc 6c ff 0d ac 69 7c b3-bb 6f fb 35 d5 75 7d aa .l...i|..o.5.u}. 
    0070 - d3 34 e1 04 f9 85 06 50-a2 3d 12 8d 69 39 53 32 .4.....P.=..i9S2 
    0080 - c7 c4 f3 84 93 fb 87 8c-48 a2 7b 8f 35 5a c0 4f ........H.{.5Z.O 
    0090 - 3c 58 39 3d 5d cf b1 10-b4 fa 19 9d 43 f2 09 c7 <X9=].......C... 

    Start Time: 1493112423 
    Timeout : 7200 (sec) 
    Verify return code: 0 (ok)
  1. Von Client - Browser Google Chrome (wird uns aktuelle Verbindungen sagen, was http2 hören)
    2. 012.351.

chrome: // net-internals/# http2

Dies ist die Konfiguration auf nginx:

server { 
    index index.html index.htm index.php; 

    # Direct http2 
    listen  IP:PORT ssl http2; 

    # Haproxy redirection 
    listen  IP:PORT http2 proxy_protocol; 
...

Und dies ist die Konfiguration auf haproxy (Meine Idee ist, SSL-Schicht zu verwenden, um zwischen HA und Nginx könnten also auf verschiedenen Servern auf der ganzen Welt sein).

Jetzt könnte jeder arbeiten Haproxy, Nginx mit libressl 2.5.3 mit http2 und alpn.

Interessante URLs zu überprüfen:

https://gist.github.com/thisismitch/7c91e9b2b63f837a0c4b https://www.mare-system.de/blog/page/1405201517/ https://jve.linuxwall.info/blog/index.php?post/2015/10/04/SHA1/SHA256-certificate-switching-with-HAProxy https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations

Mit freundlichen Grüßen.

Ricardo/Brqx.

Quelle

2017-04-25 09:34:10

Verwandte Themen

 Verwandte Themen