Балансировщик нагрузки F5 отклоняет набор шифров алгоритма шифрования SHA256?

Question

Балансировщик нагрузки F5 отклоняет набор шифров алгоритма шифрования SHA256?

Я исследую проблему, при которой две конечные точки взаимодействуют по TLSv1.2, а в качестве места назначения используется балансировщик нагрузки F5. Во время рукопожатия клиент-сервер клиент отправил набор комплектов шифров, из которых сервер F5 выбрал для шифрования следующий шифр:

Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)

Во второй раз, когда клиент инициировал рукопожатие, F5 отклонил набор шифров, при проверке наборов шифров у них не было шифров SHA384:

Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)
Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c)
Cipher Suite: TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 (0xc025)
Cipher Suite: TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 (0xc029)
Cipher Suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x0067)
Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (0x0040)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)
Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)
Cipher Suite: TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA (0xc004)
Cipher Suite: TLS_ECDH_RSA_WITH_AES_128_CBC_SHA (0xc00e)
Cipher Suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x0033)
Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA (0x0032)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)
Cipher Suite: TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
Cipher Suite: TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02d)
Cipher Suite: TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 (0xc031)
Cipher Suite: TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x009e)
Cipher Suite: TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 (0x00a2)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA (0xc008)
Cipher Suite: TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (0xc012)
Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)
Cipher Suite: TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA (0xc003)
Cipher Suite: TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA (0xc00d)
Cipher Suite: TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (0x0016)
Cipher Suite: TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA (0x0013)
Cipher Suite: TLS_EMPTY_RENEGOTIATION_INFO_SCSV (0x00ff)

Я новичок в балансировщиках нагрузки F5 и хотел бы понять, почему F5 не выбирает ни один из зашифрованных наборов шифрования SHA256. Где это указано?

0

security ssl tls1.2 sha f5

Источник

user3694593 27 ноя '18 в 08:44

1 ответ

Другие вопросы по тегам security ssl tls1.2 sha f5

user3694593 24 дек '18 в 08:05 2018-12-24 08:05 · Answer 1 · 2018-12-24 08:05

Я понял это, перечислив поддерживаемые шифры из строки шифра, настроенной для этого профиля, используя команду ниже

шифры openssl Cipher_string

И у полученных наборов шифров не было ни одного из них, к которому BIGIP был настроен для принятия.

0

Источник

user3694593 24 дек '18 в 08:05

user7748072 30 ноя '18 в 22:28 2018-11-30 22:28 · Answer 2 · 2018-11-30 22:28

Новичок может выполнить следующие действия:

Проверьте версию F5 BIG-IP, а затем прочитайте K13163, чтобы узнать, какие наборы шифров поддерживаются для этой версии (перейдите по ссылкам, если ваша версия отсутствует в этом документе). Это необходимо для того, чтобы узнать, есть ли у вашего клиента и вашего сервера шанс на успешное установление связи.
Перейдите на K8802 и перейдите по ссылке Настройка надежности шифра для профилей SSL для вашей версии F5 BIG-IP. Это ответит на ваш вопрос, на котором он указан.
Если вам по-прежнему недостаточно для правильной настройки, вам нужно прочитать K15292, чтобы узнать, как отладить проблему рукопожатия (требуется знание SSL).