Ошибка во время SSL рукопожатия с удаленным сервером

Question

Ошибка во время SSL рукопожатия с удаленным сервером

65

У меня есть Apache2 (прослушивание на 443) и веб-приложение, работающее на Tomcat7 (прослушивание 8443) на Ubuntu.

Я установил apache2 как обратный прокси-сервер, чтобы получить доступ к веб-приложению через порт 443 вместо 8443. Кроме того, мне нужно иметь связь SSL не только между браузером и apache2, но также между apache2 и tomcat7, поэтому я устанавливаю SSL на обоих apache2 и tomcat7. Если я попытаюсь получить доступ к веб-приложению, напрямую связавшись с tomcat7, все будет в порядке. Проблема в том, что когда я пытаюсь получить доступ к веб-приложению tomcat через apache2 (обратный прокси), в браузере появляется ошибка:

Proxy Error
The proxy server could not handle the request GET /web_app.
Reason: Error during SSL Handshake with remote server

user2791481 18 сен. 2013, в 14:15

Источник

0

Apache не доверяет сертификату, который вы установили на tomcat. Это самозаверяющий сертификат? Или это сделано внутренним CA?
MK. 18 сен. 2013, в 12:55
2

Самостоятельно подписывается этой командой: openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
user2791481 18 сен. 2013, в 12:58
3

serverfault.com/questions/356678/… Я думаю, что это то, что вы хотите: SSLProxyVerify none SSLProxyCheckPeerCN off
MK. 18 сен. 2013, в 13:03
9

Лучше установить SSLProxyCACertificateFile в свой личный сертификат CA, а не просто отключить проверку.
ndbroadbent 09 янв. 2014, в 00:22
0

как объяснено в этом блоге, вы можете отключить проверки SSL.
HybrisHelp 09 март 2018, в 09:30

Показать ещё 3 комментария

Теги:

apache

tomcat

ssl

reverse-proxy

2 ответа

Ещё вопросы

Apache не доверяет сертификату, который вы установили на tomcat. Это самозаверяющий сертификат? Или это сделано внутренним CA?
Самостоятельно подписывается этой командой: openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
serverfault.com/questions/356678/… Я думаю, что это то, что вы хотите: SSLProxyVerify none SSLProxyCheckPeerCN off
Лучше установить SSLProxyCACertificateFile в свой личный сертификат CA, а не просто отключить проверку.
как объяснено в этом блоге, вы можете отключить проверки SSL.

mydoghasworms · Answer 1 · 2014-02-27T14-08-00.000Z

132

Комментарий М.К. указал мне в правильном направлении.

В случае Apache 2.4 и выше существуют разные значения по умолчанию и новая директива.

Я запускаю Apache 2.4.6, и мне пришлось добавить следующие директивы, чтобы заставить его работать:

SSLProxyEngine on
SSLProxyVerify none 
SSLProxyCheckPeerCN off
SSLProxyCheckPeerName off
SSLProxyCheckPeerExpire off

mydoghasworms 27 фев. 2014, в 14:08

0

Таким образом, это отключает защиту, но пока трафик локальный (т. Е. 127.0.0.1:8443 ), это должно быть меньшей проблемой, верно?
bgStack15 16 июль 2015, в 14:57
3

Ну, это не отключает защиту, поскольку речь идет о шифровании. Трафик все еще зашифрован. Это просто отключает проверку сертификата, чтобы убедиться, что это доверенным органом. Поэтому, если вы доверяете серверу, у вас не должно быть проблем. Но да, для местного трафика я думаю, что вы тоже хорошо.
mydoghasworms 16 июль 2015, в 17:14
5

SSLProxyCheckPeerExpire off все, кроме SSLProxyCheckPeerExpire off - так что это помогло мне! Спасибо :)
gawbul 04 март 2016, в 15:35
1

Спасибо mydoghasworms. Ваши директивы работают в версии сервера: Apache / 2.4.6. Если кто-то должен знать версию httpd, используйте это: httpd -V
JRichardsz 25 май 2016, в 21:18
0

@ gawbul Живи долго, мой друг !!! Это спасло меня от головной боли! Мне тоже не хватало только этого. Было бы неплохо, если бы ответ тоже обновлялся!
GTodorov 27 май 2016, в 07:31
0

@mydoghasworms спасибо. Это действительно помогло мне.
Abubacker Siddik 28 март 2017, в 06:44
1

@mydoghasworms, от такого же Joburger, спасибо - ты только что сделал мою пятницу!
Lance 27 окт. 2017, в 17:23
0

Было бы здорово, если бы документы на сайтеlaboraoffice.com и nextcloud.com были обновлены ...! Это сделал трюк
nilsM 18 сен. 2018, в 13:32
0

спасибо случайный незнакомец за помощь в решении моей проблемы :)
galih 20 сен. 2018, в 08:41

Показать ещё 7 комментариев

Justas · Answer 2 · 2017-10-13T13-56-00.000Z

Столкнулась с той же проблемой, что и OP:

Tomcat возвратил ответ при обращении напрямую через интерфейс SOAP
Не загружал html файлы
При использовании свойств Apache, упомянутых в предыдущем ответе, появилась веб-страница, но AngularJS не смог получить HTTP-ответ

Сертификат SSL Tomcat истек, пока браузер показал его как безопасный. Сертификат Apache был далек от истечения срока действия. Обновление файла Tomcat KeyStore разрешило проблему.