Nginx只有TLS1.3密码套件

Question

我试图将Nginx配置为只使用带有两个密码的TLS1.3 : TLS-AES-256-GCM-SHA384:TLS-AES-128-GCM-SHA256.

所以，我尝试了这个配置：

ssl_protocols TLSv1.3;
ssl_ciphers TLS-AES-256-GCM-SHA384:TLS-AES-128-GCM-SHA256;

但是nginx -s重新加载错误时

nginx: [emerg] SSL_CTX_set_cipher_list("TLS-AES-256-GCM-SHA384:TLS-AES-128-GCM-SHA256") failed (SSL: error:1410D0B9:SSL routines:SSL_CTX_set_cipher_list:no cipher match)", "operationName": "Default", "category": "Default"}

看来我至少需要追加一个非TLS1.3密码才能使配置工作。我尝试了各种这样的组合，它们成功了。其中之一是：

TLS-AES-256-GCM-SHA384:TLS-AES-128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384

为什么会这样呢？我认为之所以会发生这种情况，是因为OpenSSL本身不接受原始的加密套件字符串。我正在使用OpenSSL-1.1g。

root@2ed6cae6e062:/azure/appgw# openssl ciphers -v TLS-AES-256-GCM-SHA384:TLS-AES-128-GCM-SHA256
Error in cipher list
140686067873536:error:1410D0B9:SSL routines:SSL_CTX_set_cipher_list:no cipher match:ssl/ssl_lib.c:2558:

有一些有用的链接，我遇到了，但不知道如何实现我想要的-只使用TLS1.3密匙。

https://forum.nginx.org/read.php?2,284909,284914#msg-284914

https://trac.nginx.org/nginx/ticket/1529

https://wiki.openssl.org/index.php/TLS1.3#Ciphersuites

Answer 1

我成功地添加了ssl_prefer_server_ciphers off;指令。