在CentOS流9上使用https连接时的Yum/dnf错误(35)
在CentOS流9上使用https连接时的Yum/dnf错误(35)
提问于 2022-07-26 20:15:25
BLUF:有人能帮助我在连接到https站点时设置yum和/或dnf以更好地使用TLS1.3吗?
情况:
- 新安装的CentOS流9(CentOS 9-20220718.0-x86_64-dvd1.iso)
- 基于透明代理服务的企业网络研究
- 如果设置了repos,默认的yum和dnf将无法下载,并出现以下错误:
错误:未能从repo repo‘baseos’下载元数据:无法准备内部镜像列表: Curl错误(35):https://mirrors.centos.org/metalink?repo=centos-baseos-9-stream&arch=x86_64&protocol=https,http 错误:0A000152:SSL例程::禁用不安全的遗留重新协商的SSL连接错误
- 对于使用https连接的其他repos,我得到了相同的错误。
- 一旦centos.repo被修改为指向http而不是https,下载工作就会完成。
- 其他只支持https (即https://download.docker.com)的repos仍然不起作用。
- curl https://google.com会导致相同的错误以及任何最新的https站点。
- curl --tlsv1.3 https://google.com的结果是来自服务器的正确输出。
我想我把这个问题追溯到了TLS 1.3客户端支持,可能是因为我们公司的代理拒绝了TLS 1.2密码器。我无法理解的是如何告诉yum、dnf或任何其他客户端命令使用TLS 1.3来协商连接。我在CentOS 7和8中发现了类似的问题,但没有在9中找到如何解决它的方法。在7和8中,openssl似乎缺少了TLS1.3的密码器,但是在9 openssl上更新并有1.3支持。
回答 1
Unix & Linux用户
发布于 2022-08-24 09:01:13
将tlsv1.3选项添加到~/.curlrc。您可以在卷曲手册中找到其他受支持的配置文件位置。
强制TLS1.3禁用TLS检查在我的情况下,但它将不能工作的旧服务器。另一种选择是通过在UnsafeLegacyRenegotiation中设置/etc/pki/tls/openssl.cnf选项,允许不安全的遗留重新协商:
…
[ crypto_policy ]
Options = UnsafeLegacyRenegotiation
.include = /etc/crypto-policies/back-ends/opensslcnf.config
…您也可以在openssl.cnf中设置最低支持的TLS版本,但是curl似乎忽略了它:
MinProtocol = TLSv1.3
TLS.MinProtocol = TLSv1.3页面原文内容由Unix & Linux提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://unix.stackexchange.com/questions/711387
复制相关文章
相似问题
腾讯云开发者
