Nginx и openSSL conf для использования новейших протоколов TLS
Я обычно соглашался бы с сообщением Mark's, но одно место, где оно не поддерживается для использования установки "Автономного сервера", - когда Вы устанавливаете на Контроллере домена. Как узнанный Tim, Установщик SharePoint даже не даст Вам опцию при предназначении для DC.
Tim - необходимо будет установить SQL Server... просто, загружает и устанавливает свободную R2 Express SQL Server 2008 года (64-разрядный выпуск) отсюда: http://www.microsoft.com/express/Database/default.aspx
Я также рекомендовал бы забрать копию "Реального мира SharePoint 2010: Необходимые События от 22 MVPs" из Вашего книжного магазина библиотеки/Amazon/локальной. Самая первая глава (Shane Young) идет через, как создать единственный сервер (включая AD) установка демонстрации/теста, которая покрывает все странные вещи, которые необходимо сделать, чтобы заставить его работать (особенно ценный для точной проблемы, которую Вы покрываете, а также боль, которая является Сервисом Профиля пользователя),
Это рабочая конфигурация для prod-серверов, попробуйте:
ssl_session_timeout 10m;
ssl_ciphers RC4:HIGH:!aNULL:!MD5:!kEDH;
ssl_session_cache shared:SSL:10m;
ssl_prefer_server_ciphers on;
И затем повторно запустите Qualys ssl.
Не нарушая установленную версию openssl, поставляемую с вашей системой, вы можете попробовать собрать nginx с пользовательской версией openssl. При создании пакета nginx укажите следующую опцию. Я делаю это со своим пользовательским rpm и последней версией openssl.
--with-openssl=/home/mschirrmeister/openssl-1.0.1f
После такой сборки установите только пакет nginx на свой сервер и попробуйте снова выполнить тест ssllabs. Теперь должно отображаться поддержка других версий.
Я думаю, вам нужно использовать
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
, а не
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Вот что я обычно использую для настройки SSL с nginx:
ssl on;
ssl_certificate /etc/nginx/ssl/<domain>/server.crt;
ssl_certificate_key /etc/nginx/ssl/<domain>/server.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
извините за мой плохой английский. У меня такая же ситуация, и мне потребовалось много времени, чтобы выяснить это. Первые ключевые слова ssl_protocol, которые читает nginx, доминируют над всем протоколом ssl сервера в nginx conf.
Измените значение «ssl_protocol» для всей конфигурации вашего сервера (на самом деле только первый в порядке), чтобы он содержал значение «TLSv1.2», может работать.
openssl 1.0.1e в порядке. Но ваша ОС может иметь две версии libssl. (У меня 0.9.8 и 1.0.1e). Так что ваш nginx может быть связан с libssl 0.9.8.
Попробуйте скомпилировать nginx с указанной последней версией исходного кода openssl.