Возникшие проблемы (13 частей серии)
Во время установки ISTIO со всеми SSL вещими у меня были некоторые проблемы с SSL. Поэтому я нашел следующие команды, чтобы сделать некоторые тесты.
С OpenSSL мы можем проверить, поддерживает ли конечная точка определенной версии TLS, а если да, с каким сертификатом.
Запрос
Пример для тестирования Google.com на порт 443 с TLS 1.2
OpenSSL S_Client -Connect Google.com:443 -TLS1_2
Чтобы проверить с другими версиями TLS, вам просто нужно изменить TLS1_2 по TLS1_1. или TLS1_3 Отказ
Отвечать
Пример ответа, когда конечная точка поддерживает TLS 1.2
CONNECTED(00000003) depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3 verify return:1 depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 verify return:1 depth=0 CN = example.com verify return:1 --- Certificate chain 0 s:/CN=example.com i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 i:/O=Digital Signature Trust Co./CN=DST Root CA X3 -------- Server certificate ----------BEGIN CERTIFICATE----- MIIFDjCCA/agAwIBAgISA0nt67i+GAazJs4e+bBSMqB6MA0GCSqGSIb3DQEBCwUA MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0xNzA1MjMyMTU5MDBaFw0x NzA4MjEyMTU5MDBaMBcxFTATBgNVBAMTDGluaXNtZWFpbi5pZTCCASIwDQYJKoZI hvcNAQEBBQADggEPADCCAQoCggEBANLrc8IH2BP51XLhR6L2/IjRuNYcoj6UH58K NzA4MjEyMTU5MDBaMBcxFTATBgNVBAMTDGluaXNtZWFpbi5pZTCCASI......... dl0= ----------END CERTIFICATE----- subject=/CN=example.com issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -------- No client certificate CA names sent Peer signing digest: SHA512 Server Temp Key: ECDH, P-384, 384 bits -------- SSL handshake has read 3019 bytes and written 463 bytes -------- New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384 Session-ID: DF39CB241F6580C6E6570E0E9827D7F8615A71A76359DB4F9D1B9D3AD Session-ID-ctx: Master-Key: 12E8FF788E15AAA2E95BE35C5864784B90ED5A9AE8352AFE98C7DCADB04E Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None Start Time: 1502214066 Timeout : 7200 (sec) Verify return code: 0 (ok) -------- closed
Иногда вам нужно сделать некоторые звонки с определенной версией TLS. Итак, здесь, с завитым, вы можете добавить параметры, чтобы определить, какую версию TLS вы хотите использовать.
Curl —tlsv1.2 —tls-max 1.2
Если вы не уверены, о каких шифрах поддерживаются вашим сервером, вы можете использовать следующую команду для их списка.
Запрос
Ciphers openssl -v.
Отвечать
Пример одной линии, представляющий шифр. Обычно вы должны иметь пару строк, как этот.
... ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD ...
Я надеюсь, что это поможет вам!
Пожалуйста, не стесняйтесь дать мне отзыв, чтобы помочь мне улучшить свои навыки письма.
Возникшие проблемы (13 частей серии)
Оригинал: «https://dev.to/adaendra/tips-to-test-ssl-parameters-in-command-line-3i0»