ssl网站在Windows XP上不起作用

Question

我有一个为SSL配置的apache want服务器，并且我想在该服务器上访问一个页面。我无法从Windows XP和Inernet Explorer 6-7-8访问该SSL网页。同一页面适用于其他操作系统(包括IE)中的所有浏览器以及Windows XP上的其他浏览器。XP-IE中的其他互联网SSL网站也工作得很好。我试图在服务器上运行ssldump，但在SSL握手期间连接关闭。

New TCP connection #1: XP_HOST(62044) <-> WEBSERVER(443)
1 1  0.2040 (0.2040)  C>S  Handshake
      ClientHello
        Version 3.1
        cipher suites
        TLS_RSA_WITH_RC4_128_MD5
        TLS_RSA_WITH_RC4_128_SHA
        TLS_RSA_WITH_3DES_EDE_CBC_SHA
        TLS_RSA_WITH_DES_CBC_SHA
        TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
        TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
        TLS_RSA_EXPORT_WITH_RC4_40_MD5
        TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
        TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
        TLS_DHE_DSS_WITH_DES_CBC_SHA
        TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA
        compression methods
                  NULL
ERROR: Length mismatch

我还尝试强制客户机和服务器使用特定的SSL版本(2或3)，但似乎都不起作用。我认为问题可能是apache上的一些SSL配置，但我找不到我的错误。

这是我关于密码套件的SSL配置：

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLProtocol all -SSLv2

如果还需要什么，请让我知道，我会在这里添加它。

在apache上禁用了SNI和NameServer。

有人有什么建议吗？

提前谢谢。

Answer 1

好吧，我解决了。我发现Windows XP在零碎的SSL/TLS握手消息方面存在问题。通过搜索微软知识库，我发现“微软的TLS/SSL协议实现不能解析碎片消息”(参见Microsoft KB Article )。

Microsoft Update KB2541763 (在链接页面上提供)解决了这个问题，允许Windows XP (以及Windows Server2008和Windows Vista)接受来自web服务器的零碎握手消息。

诚挚的问候。

Answer 2

该操作系统不能使用SNI，当您想要在同一IP上运行多个SSL VH时，SNI是必需的。

编辑您的SSL VirtualHost从<VirtualHost *:443>到<VirtualHost IP.Address:443>，并且不要在该IP上运行任何其他SSL VirtualHosts。