error当单独尝试时,以下密码被拒绝: TLS_AES_128_GCM_SHA256
error当单独尝试时,以下密码被拒绝: TLS_AES_128_GCM_SHA256
提问于 2020-06-08 15:36:07
在istio 1.5.1中,当我尝试使用以下语法向gateway的tls部分添加特定的密码套装时:
minProtocolVersion: TLSV1_3
mode: SIMPLE
cipherSuites: [TLS_AES_128_GCM_SHA256]我在istio入口舱的日志中发现了以下错误:
[Envoy (Epoch 0)] [2020-06-08 15:15:44.033][22][warning][config] [external/envoy/source/common/config/grpc_subscription_impl.cc:87]
gRPC config for type.googleapis.com/envoy.api.v2.Listener rejected:
Error adding/updating listener(s) 0.0.0.0_443: Failed to initialize cipher suites TLS_AES_128_GCM_SHA256.
The following ciphers were rejected when tried individually: TLS_AES_128_GCM_SHA256如果我将cipherSuites行从tls部分删除,则不会出现错误,有效密码套装列表中也会出现相同的密码套装。
有什么建议吗?谢谢
回答 1
Stack Overflow用户
回答已采纳
发布于 2020-06-09 08:55:13
TLS1.3密码不参与此机制,而是具有内置优先顺序。设置密码列表的函数不影响TLS1.3,查询密码列表的函数不包括TLS1.3密码。
cipher_suites
如果指定,则TLS侦听器仅在协商TLS 1.0-1.2时才支持指定的密码列表(此设置在协商TLS 1.3时不起作用)。如果未指定,则将使用默认列表。 在非FIPS构建中,默认密码列表是:
[ECDHE-ECDSA-AES128-GCM-SHA256|ECDHE-ECDSA-CHACHA20-POLY1305]
[ECDHE-RSA-AES128-GCM-SHA256|ECDHE-RSA-CHACHA20-POLY1305]
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES256-SHA
AES256-GCM-SHA384
AES256-SHA在使用BoringSSL FIPS的构建中,默认的密码列表是:
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES256-SHA
AES256-GCM-SHA384
AES256-SHA另外,看看这个github 问题。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/62265756
复制相关文章
相似问题
腾讯云开发者
