尝试连接到负载均衡器时,为什么会遇到客户端 SSL/TLS 协商错误?

上次更新时间:2020 年 1 月 31 日

当我尝试连接到负载均衡器时,遇到了安全套接字层 (SSL)/传输层安全性 (TLS) 协商错误。为什么会出现此错误?

简短描述

客户端 TLS 协商错误是指由客户端启动的 TLS 连接无法与负载均衡器建立会话。当客户端尝试使用负载均衡器的安全策略不支持的协议或密码连接到负载均衡器时,会发生 TLS 协商错误。要建立 TLS 连接,请确保您的客户端支持:

  • 一个或多个匹配密码
  • 安全策略中指定协议

解决方法

确定您的负载均衡器的安全策略

在 AWS 管理控制台中:

1.    打开 Amazon Elastic Compute Cloud (Amazon EC2) 控制台

2.    在导航窗格中,选择负载均衡下的负载均衡器

3.    选的负载均衡器,然后选择侦听器

4.    查看安全策略。
       对于 Application Load Balancer 和网络负载均衡器,可在安全策略列中找到安全策略。
       对于 Classic Load Balancer,在密码列中选择更改以查看安全策略。

在 AWS 命令行界面 (AWS CLI) 中:

确定您的负载均衡器的安全策略支持哪些协议和密码

Classic Load Balancers 支持自定义安全策略。但是,Application Load Balancers 和网络负载均衡器目前不支持自定义安全策略。有关安全策略(包括默认安全策略)的更多信息,请参阅:

(可选)测试您的负载均衡器的安全策略

要测试您的负载均衡器的安全策略支持哪些协议和密码,可以使用诸如 sslscan 之类的开源命令行工具。

您可以在任何 Amazon EC2 Linux 实例上或从本地系统安装和运行 sslscan 命令。确保要测试的负载均衡器接受来自源 IP 地址的 TLS 连接。要在 Amazon Linux EC2 实例上使用 sslscan

1.    启用 Extra Packages for Enterprise Linux (EPEL) 存储库

2.    运行 sudo yum install sslscan 命令。

3.    运行以下命令以扫描负载均衡器支持的密码。请确保将 example.com 替换为您的域名。

[ec2-user@ ~]$ sslscan --show-ciphers example.com

如有必要,更新负载均衡器的安全策略

如果您需要更新负载均衡器的安全策略以使用受支持的协议或密码,并达到所需的安全级别,则可以:


这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?