由于源站SSL配置不一致导致访问报502

由于源站SSL配置不一致导致访问报502

更新时间:2018-09-04 10:16:29

概述

本文主要介绍由于源站SSL配置不一致导致访问报502的解决方法。

问题描述

两个域名配置Web应用防火墙HTTPS后,访问 https://d.xxx.com 出现502,访问 https://devd.xxx.com 正常,而 https://d.xxx .com 绑定Host后直接访问源站是正常的。

问题原因

Apache的SSL配置不一致。

解决方案

问题排查

  1. 检查ACL相关内容,请参考 WAF排错手册中的 访问出现白屏(返回502)进行排查。
  2. 确认是否因DH加密密钥太短导致链接异常,请参考 HTTPS访问异常问题中的 DH密钥太短导致链接失败 说明。
  3. 重新上传域名证书,用户重新上传后问题存在,确认不是域名证书的问题。
  4. Web应用防火墙的节点为120.xx.xxx.3,用户源站地址为139.xxx.xxx.148,抓包如下所示。
  5. 对抓报结果进行分析。Web应用防火墙在第12个报文时已经与源站完成了SSL握手,开始传输数据。但是客户端收到对应的数据后,又发起了一次握手(Encrypted Handshake Message),Web应用防火墙收到对应的信息后,20秒左右未响应任何内容,源站主动发FIN断开链接。
  6. 通过抓包结果可知,不是由于安全软件等原因导致的链接不通。能够直接访问源站正常,判断源站的证书正常。源站有发起多次的加密握手信息,判断与SSL配置有关。

解决方法

  1. 对比Apache的SSL配置文件,发现Apache上配置两个网站的HTTPS通过VirtualHost方式实现。配置如下图所示。
    • 主配置的内容如下所示。
      SSLCipherSuite AESGCM:ALL:\EXPORT:\MEDIUM:\http://docs.alibaba-inc.com/download/attachments/482261814/aNULL:\!eNULL
      
    • d.xxx.com的VirtualHost中配置如下所示。
      SSLCipherSuite ALL:\EXPORT:\http://docs.alibaba-inc.com/download/attachments/482261814/aNULL:\!eNULL
      SSLCipherSuite HIGH:\MD5:\eNULL:\http://docs.alibaba-inc.com/download/attachments/482261814/DH:5C!http://docs.alibaba-inc.com/download/attachments/482261814/EDH:5C!EXP:+MEDIUM
      
  2. 发现配置的内容不一致。将d.xxx.com的VirtualHost中配置修改如下所示。
    SSLCipherSuite AESGCM:ALL:\EXPORT:\MEDIUM:\http://docs.alibaba-inc.com/download/attachments/482261814/aNULL:\!eNULL
    
  3. 与主配置保持一致,重启服务测试正常。

适用于

  • Web应用防火墙