文档首页/ 云容器引擎 CCE/ 常见问题/ 模板插件/ NGINX Ingress控制器插件升级后无法使用TLS v1.0和v1.1
更新时间:2024-09-04 GMT+08:00

NGINX Ingress控制器插件升级后无法使用TLS v1.0和v1.1

问题现象

NGINX Ingress控制器插件升级至2.3.3及以上版本后,如果客户端TLS版本低于v1.2,会导致客户端与NGINX Ingress协商时报错。

解决方法

2.3.3及以上版本的NGINX Ingress默认仅支持TLS v1.2及v1.3版本,如果需要支持更多TLS版本,您可以在NGINX Ingress控制器插件配置的ssl-ciphers参数中添加@SECLEVEL=0字段,以启用对更多TLS版本的支持。更多详情请参见TLS/HTTPS

  1. 登录CCE控制台,进入集群,在左侧导航栏中选择“插件中心”,单击NGINX Ingress控制器下的“管理”
  2. 单击对应控制器实例的“编辑”按钮。
  3. “nginx 配置参数”中添加以下配置。

    {
    	"ssl-ciphers": "@SECLEVEL=0 ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA",
    	"ssl-protocols": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
    }

  4. 单击“确定”
  5. 重新使用TLS v1.1进行访问,响应正常。