openssl 테스트 후 포트 443이 필터링으로 전환됩니다.

tag-icon tag-icon centos apache-httpd openssl ssl nmap
openssl 테스트 후 포트 443이 필터링으로 전환됩니다.

내가 조사하는 동안이 문제는 SSL과 관련되어 있습니다.(StackOverflow에 OT로 게시됨) 이상한 동작을 발견했습니다.

전제

https://my.site.com전제는 내 웹 서버(웹 기반 애플리케이션을 실행하는 CentOs 6 VPS에서 호스팅됨)가 액세스할 때 응답하지 않는 반면, 동일한 웹 사이트는 VPS에서 실행되는 Apache 2.2에 액세스할 때 응답하지 않는 이유를 이해하려고 한다는 것입니다 http://my.site.com.~해야 한다포트 443에서 수신 대기하도록 올바르게 구성되었습니다.

이상한 행동

다음 출력 순서를 살펴보겠습니다. 포트 443을 확인하기 위해 쉘에서 다음 세 가지 명령을 실행했습니다.외딴서버, IP 주소가 XXX.XXX.XXX.XXX인 my.site.com을 가정해 보겠습니다. 일부 특정 정보를 차단했습니다.

# nmap -p443 XXX.XXX.XXX.XXX

Starting Nmap 6.47 ( http://nmap.org ) at 2017-01-07 23:32 CET
Nmap scan report for [some-host] (XXX.XXX.XXX.XXX)
Host is up (0.0021s latency).
PORT    STATE SERVICE
443/tcp open  https

Nmap done: 1 IP address (1 host up) scanned in 1.16 seconds

# openssl s_client -connect XXX.XXX.XXX.XXX:443
CONNECTED(00000003)
3069269200:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:177:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 289 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1483830497
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

# nmap -p443 XXX.XXX.XXX.XXX

Starting Nmap 6.47 ( http://nmap.org ) at 2017-01-08 00:08 CET
Nmap scan report for [some-host] (XXX.XXX.XXX.XXX)
Host is up (0.064s latency).
PORT    STATE    SERVICE
443/tcp filtered https

Nmap done: 1 IP address (1 host up) scanned in 1.25 seconds

포트 443이 된 것 같습니다.거르는OpenSSL을 실행한 직후 nmap을 사용합니다. 어떻게 이럴 수있어? 이 행동의 이유는 무엇일까요?

편집하다

원격 서버에서 로컬로 실행되는 명령은 openssl다음과 같은 출력을 제공하므로 인증서가 올바르게 구성된 것 같습니다(틀린 경우 알려주세요).

# openssl s_client -connect localhost:443
CONNECTED(00000003)
depth=2 O = [some CA], CN = [some CA] Root CA X3
verify return:1
depth=1 C = US, O = [some CA], CN = [some CA] X3
verify return:1
depth=0 CN = my.site.com
verify return:1
---
Certificate chain
 0 s:/CN=my.site.com
   i:/C=US/O=[some CA]/CN=[some CA] X3
 1 s:/C=US/O=[some CA]/CN=[some CA] X3
   i:/O=[some CA]/CN=[some CA] Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----
[some data]
-----END CERTIFICATE-----
subject=/CN=my.site.com
issuer=/C=US/O=[some CA]/CN=[some CA] X3
---
No client certificate CA names sent
Server Temp Key: ECDH, prime256v1, 256 bits
---
SSL handshake has read 3672 bytes and written 373 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: F2F71647F95F40CA29C5AA8628D76B466C8B89CFF5A1992B88DDC121FB376345
    Session-ID-ctx: 
    Master-Key: [some data]
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    [some data]

    Start Time: 1483840507
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

관련 정보