有没有办法将 Apache mod_ssl 配置为允许对一个特定 IP 使用 TLS 1.0,同时对所有其他 IP 强制使用 TLS 1.2?我需要支持来自仅支持 TLS 1.0 的旧系统的连接,但我不想为每个主机完全打开 TLS 1.0。我知道 IP 欺骗等,但基于 IP 的限制 - 如果可能的话 - 似乎是在旧系统被替换之前的最佳折衷方案。
问问题
904 次
1 回答
0
有两种方法可以解决您的问题,具体取决于您的客户端的行为方式或您的偏好(带有 Allow 指令的本机 Apache,或基于 Rewrite)
您需要知道客户端是否支持 SNI(捕获握手将回答此问题)。大多数客户端都支持它,即使是 TLS 1.0,但由于它是一个遗留系统,也许它不支持。
如果不支持 SNI,您可以声明两个虚拟主机,其想法是将所有遗留请求发送到第一个 VH(支持 TLS 1.0),第二个 VH 将回答其他人。IP 检查由 Allow 指令完成:
NameVirtualHost *:443
SSLStrictSNIVHostCheck off
# For the legacy
<VirtualHost *:443>
DocumentRoot /var/www/html
ServerName unknown
SSLProtocol TLSv1
<Directory "/var/www/html">
Order Deny,Allow
Deny from all
Allow from 192.168.1.50 # your legacy ip
</Directory>
</VirtualHost>
# For all others
<VirtualHost *:443>
DocumentRoot /var/www/html
ServerName my.domain.com
SSLProtocol TLSv1.2
<Directory "/var/www/html">
Order Deny,Allow
Allow from all
</Directory>
</VirtualHost>
如果允许 SNI,我们可以使用 RewriteCond 解决问题。我相信它需要更多的 CPU,因为使用 RewriteEngine,但解决方案 1 也可以用这个替代。您需要启用 Rewrite 和 Remoteip 模块。
NameVirtualHost *:443
SSLStrictSNIVHostCheck on
# For all others
<VirtualHost *:443>
DocumentRoot /var/www/html
ServerName my.domain.com
SSLProtocol TLSv1 TLSv1.2
RewriteEngine On
RewriteCond %{SSL:SSL_PROTOCOL} ^TLSv1$
RewriteCond %{REMOTE_ADDR} !"192.168.1.50" #your legacy ip
RewriteRule .* "-" [F]
<Directory "/var/www/html">
Order Deny,Allow
Allow from all
</Directory>
</VirtualHost>
让我们知道结果。
于 2018-03-14T14:57:23.303 回答