服務器升級到centos8,當通過CURL來訪問內網https地址的時候,會遇到以下幾點問題(我們見招拆招):
1. error:060800C8:digital envelope routines:EVPDigestInitex:disabled for FIPS
# fips-mode-setup --disable,這個操作需要重啟才能生效,並不是systemctl restart sssd就可以的啦,逆操作:fips-mode-setup --enable
2. error:141A318A:SSL routines:tlsprocessskedhe:dh key too small
# update-crypto-policies --set LEGACY,注意不要重啟,重啟后update-crypto-policies --show的結果有可能不是LEGACY。
所以添加到開機執行
# vi /etc/rc.local
添加到新行保存 update-crypto-policies --set LEGAC
3. error:1425F102:SSL routines:sslchooseclientversion:unsupported protocol
#vim /etc/crypto-policies/back-ends/opensslcnf.config的內容,默認CENTOS8是使用TLSv1.2,需要手動改成TLSv1)