https协议应用常见如SVN和web网站场景,涉及了SSL协议的应用。不少人在搭建部署https应用时,会遇到浏览器访问失败的时候出现:“此网站使用了不受支持的协议,因此无法建立安全连接ERR_SSL_VERSION_OR_CIPHER_MISMATCH,客户端和服务器不支持一般 SSL 协议版本或加密套件。”类似这样的错误提示问题。如果测试比较认真的,可以通过多种不同浏览器测试访问发现:较新版本的google浏览器和firefox浏览器等访问失败提示SSH协议不受支持,qq浏览器和搜狗浏览器等兼容性较强的浏览器会访问成功或有提示并能访问。这里具体总结下原因和几种解决方法。以及附提内网https应用通过nat123映射外网访问的实现。
一,https访问提示SSL协议不受支持的原图和解决方法
出现问题原因:
本地https应用采用了已经淘汰的TLS协议。
解决方案有二种:
1,一是在所有访问端的浏览器使用兼容TLS旧协议的浏览器(或手动配置浏览器设置加载用上旧TLS协议)来访问。如果访问端不固定的场景,这种方案不适合。
2,二是在https服务端的web中间件服务配置里面,禁用TLS1.0、TLS1.1这些旧协议。有本地权限的推荐这种方案。以下是以Nginx和apache为例参考(如果是使用了其他如IIS或tomcat等的自行本地找web配置文件处理)
(1)nginx禁用TLS1.0和TLS1.1处理方案:
直接在本地nginx找到配置文件(或web后台管理),将ssl_protocols TLSv1.0 TLSv1.1 TLSv1.2;中的1.0和1.1版本注释掉或直接删除
在nginx安装目录/usr/local/nginx/conf中找到所的主机的Nginx 配置文件,打开找到ssl_protocols这行只保留TLSv1.2 TLSv1.3。例如:ssl_protocols TLSv1.2 TLSv1.3;
修改完成后重启Nginx即可。
(2)Apache禁用TLS1.0和TLS1.1处理方案:
在本地apache配置文件(或web中间件服务后台管理),一般Apache都是配置在http-ssl.conf配置文件里,也有在自定义配置文件*.conf配置文件。将SSLProtocol配置为以下内容:SSLProtocol -ALL +TLSv1.2 +TLSv1.3
修改完成后重启Apache即可。
二,本地内网https应用怎么映射到外网访问
可以上网,即可以将https等服务器所有内网地址,通过nat123一步映射设置,提供外网互联网访问。实现过程如下:
1,内网访问
在局域网内可以正常访问连接。且明确相关内网地址和内网端口等。
2,内网映射
在内网服务器本地,或所在局域网内另台主机上,安装并登录nat123添加端口映射。将需要访问的地址由内网地址变为外网地址。
涉及映射填写相关信息有:
应用类型:根据自己场景应用需求选择。收录网站web服务http协议的,选择使用“80http映射”;办公OA和ERP及后台管理信息网站,不管是http还是https都推荐选择使用“非80网站”;网站使用了https协议且必须要443外网访问的,选择使用“443https映射”。
映射服务:默认免费线路可以直接使用。如果购买了VIP线路,可以切换VIP组。
应用名称:自定义,如是远程办公OA网站则可以填写下“oa”,自己方便看认。
内网端口:内网访问端口。在本地内网使用访问的端口号。如7002,以实际为准。
内网地址:内网访问固定地址。可以是固定内网IP或计算机名。如是在服务器本机使用映射的,推荐填写127.0.0.1格式。
外网端口:默认分配的端口即可用。不用改直接可在外网访问用。如选择了80映射或443映射的类型,则没有这一填写,因为80/443映射后,外网访问端口就是80/443。
外网网址:外网访问网站域名。可以直接按提示使用免费域名,或是自定义二级免费域名。也可以填写自己注册的顶级域名,并同时在自己注册域名解析商网站管理后台,添加一个对应的cname记录,让自己域名生效。
3,外网访问
内网nat123端口映射域名生效后,即可以在任意上网环境,通过域名(和外网端口)进行访问。
内网映射外网提示:
(1)内网访问协议是什么,外网访问域名协议也是什么对应的。如本地内网有的是https协议应用,使用了非80网站映射后,外网访问时浏览器对应也要使用https开头。
(2)选择合适的映射类型线路。如只有本身应用使用了https协议的且需要外网固定443访问端口的,才能使用443https映射类型。http应用是不能用于443https映射方式的。
快速了解相关:
使用端口映射还是动态域名解析?>
端口映射与动态域名解析的区别?>
选择什么映射类型?
80映射与网站加速的区别?>
本地加速与网站加速的区别?>
免费与VIP的区别?>
如何选择映射VIP?
如何使用映射VIP(80网站)?>
如何使用映射VIP(非网站)?>
如何使用动态域名解析VIP服务?
如何使用自己的域名(根域名和www子域名)?>
客户端帐号能否多处登陆?
当前活动:
1.
非80映射免费VIP。
2.
80映射免费VIP全映射。
3.
非网站免费VIP全端口。
4.
充值送N币再送T币。
5.
站外分享送T币活动。
端口映射高级功能:
1.
如何切换使用映射VIP线路。
2.
http穿透解决http屏蔽问题。
3.
端口映射应用多机负载均衡。
4.
80映射网站默认使用快照提示取消。
5.
映射网站默认未登录提示页面自定义。
6.
如何设置映射网站离线转跳自定义目标地址。
7.
防火墙与访问日志(查看来访者IP和阻止IP端口)。
8.
80网快照录制和缓存删除。
9.
自主发布映射服务。
10.
自主选择网站集群线路访问端国内外区域。
动态域名解析高级功能:
1.
动态域名解析应用多机负载均衡。
2.
动态域名解析VIP怎么用。
域名解析高级功能:
1.
域名解析A记录宕机检测和故障转移。
2.
URL显性转发和隐性转发。
3.
URL转发默认提示取消。
远程开机:
1.
微信/网页远程开机。