主页 / server / 问题 / 1060194
Accepted
Chris Maggiulli
Asked: 2021-04-13 17:28:46 +0800 CST

Subversion SSL 握手失败和 408 错误代码

  • 772

版本

颠覆:版本 1.6.11 (r934486)

操作系统:CentOS 6.8 版(最终版)

背景

我有各种在 CentOS 机器上作为 cronjobs 运行的 shell 脚本。shell 脚本将文件提交到 Subversion 并从 Subversion 签出文件。今天我所有的脚本都开始失败并出现以下错误

svn:'https://svn.int.mydomain.edu/eas'的选项:SSL握手失败:收到SSL警报:协议版本错误(https://svn.int.mydomain.edu

作为故障排除步骤,我运行了以下命令

openssl s_client -connect svn.int.mydomain.edu:443

并收到以下输出(略有编辑)

CONNECTED(00000003)
---
Certificate chain
 0 s:/OU=Domain Control Validated/CN=*.int.mydomain.edu
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
 1 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
 2 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
 3 s:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
   i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
---
Server certificate
-----BEGIN CERTIFICATE-----
REDACTED
-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/CN=*.int.mydomain.edu
issuer=/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
---
No client certificate CA names sent
Server Temp Key: ECDH, prime256v1, 256 bits
---
SSL handshake has read 5545 bytes and written 373 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: REDACTED
    Session-ID-ctx: 
    Master-Key: REDACTED
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1618275549
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
HTTP/1.1 408 Request Time-out
content-length: 110
cache-control: no-cache
content-type: text/html
connection: close

<html><body><h1>408 Request Time-out</h1>
Your browser didn't send a complete request in time.
</body></html>
closed

正如你所看到的,我HTTP/1.1 408 Request Time-out在标准输出的末尾得到了一个。我可以验证我可以在这个盒子上访问https://svn.int.mydomain.edu,因为从那个盒子单独安装 svn 可以正常工作(随 Jenkins 插件一起安装的 SVN 安装)。

问题

有人对这里的其他故障排除技术有任何想法吗?我试图搜索这个问题,但没有卓有成效的回应。

svn ssl http-status-code-408

1 个回答

  1. Best Answer

    408 响应仅仅是因为 openssl 从未发送过 HTTP 请求。它完成了 TCP 连接和 SSL 握手,仅此而已。

    响应的重要部分是:

    Protocol  : TLSv1.2
Cipher    : ECDHE-RSA-AES256-GCM-SHA384
Verify return code: 0 (ok)

    0 (ok)部分意味着就openssl而言,SSL连接很好。证书有效且至少支持一种密码和协议。

    但是来自 bash 脚本的错误消息表明 SSL 连接不正常。我最好的猜测是服务器已经升级,现在不再支持 TLS 1.0 和 TLS 1.1,而且你的 bash 脚本用于 HTTPS 请求的任何内容都不支持 TLS 1.2。您可以通过将-tls1选项添加到您的 openssl 命令来运行测试。

    如果这导致其他问题,0 (ok)那么这个 TLS 版本不兼容很可能是问题所在。

    问题也可能是可用密码不匹配。如果您仍然获得0 (ok)TLS 1.0,那么可能值得研究一下服务器和客户端上可用的密码。

    还可能值得查看对服务器所做的最后更改或只是尝试升级客户端。(这是在黑暗中拍摄,但有时这些工作......)

    • 1

相关问题