Q&A
TLSv1.2 に未対応なのかもしれません。「-tls1_2」オプションをはずすとどうでしょうか?
CentOS6
OpenSSL 1.0.1e-fips 11
TLS1.2を対応する為、設定後の接続確認を行っています。
SSHにてサーバー接続後コマンドラインからの実行です。
openssl s_client -connect xxxxxxxxxx.jp:443 -tls1_2
で確認を行っています。
試しにPaypalのテストサイトへ接続すると。
openssl s_client -connect tlstest.paypal.com:443 -tls1_2
CONNECTED(00000003)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV Root CA
verify return:1
接続出来ます。
ただ、上記の特定のサーバだけ
openssl s_client -connect xxxxxxxxxx.jp:443 -tls1_2
socket: Connection timed out
connect:errno=110
とタイムアウトとなってしまいます。
先方のサーバーは問題無いの一点張りで、調査の方が行き詰ってしまいました。
何かサーバーの方で調査する箇所などあれば、ご教示頂けると助かります。
宜しくお願い致します。
コマンドオプションをご覧になり、詳細な情報が出せるものがないか探してみてください。ちなみに、実際にブラウザでアクセスしてtls1.2に対応しているのかご確認されているのですよね?
回答ありがとうございます。
試してみましたが、同じ結果でした。
>openssl s_client -connect xxxxxxxxxxx.jp:443
socket: Connection timed out
connect:errno=110
インターネットで調べた資料には
サーバーは接続を拒否します。この場合、connect:Connection timedまたはconnect:errno = 110のようなメッセージが表示されます 。
このメッセージが表示されたら、正しいサーバーとポート番号を使用していることを確認してください。
そうであれば、サーバーは指定されたポートでセキュア接続を受け入れていません。
との事で先方に確認してみています。
Is the version 1.0.1 of openssl is the one on the server or on your client?
> 試してみましたが、同じ結果でした。
「詳細な情報が出せる」オプションを指定してみてください。
t_obara さん
ありがとうございます、コマンド確認してみます。
情報が足りませんで申し訳ございません。
SSHにてサーバーへ接続しコマンドラインから行っています。
Stan_Dma
Thanks
It is a thing on the server.
t_obara さん
-debugを付けてみましたが、結果は変わりませんでした。
サーバーにすらたどりついて無さそうです。
Pingは戻さない様になっている様です。
-msg はいかがでしょう?
t_obara さん
いろいろありがとうございます。
openssl s_client -connect XXXXXXXXXXXXXX.jp:443 -tls1_2 -msg
socket: Connection timed out
connect:errno=110
結果としては同じです。
なるほど、アクセス側のNW環境のような感じですね。ブラウザではアクセスできるのですか?
t_obara さん
クライアントのPC(Edgeなど)ですと
XXXXXXXXXXXXXX.jpへのアクセスは制限されていて
XXXXXXXXXXXXXX.jp/yyyyy/zzzzz.do で指定されたアドレスではレスポンスは返ってきます。
手持ちのサクラサーバーからs_clientを使うとタイムアウトしませんので、先方の個別制限の様な気がします。問合せ継続中です。
トレースルートを取ってみて先方のGWなりFWまで到達していれば、それが証明出来るかなと考えています。
みなさま、いろいろありがとうございます。
回答1件
0
自己解決
どこまで到達しているか確認の為、traceroute,tcptracertを使って確認を行いました。
traceroute XXXXXXXXXXXX.jp
traceroute to XXXXXXXXXXXX.jp (xxx.xxx.xxx.xxx), 30 hops max, 60 byte packets
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
DNSから先に出て行ってない状態でした。
ポート指定など何度かやっているうちに
traceroute XXXXXXXXXXXX.jp
traceroute to XXXXXXXXXXXX.jp (xxx.xxx.xxx.xxx), 30 hops max, 60 byte packets
1 xx7.x5.x3.1 (xx7.x5.x3.1) 0.494 ms 0.349 ms 0.316 ms
2 * * *
3 * * *
4 0-0-1-1--2005.yyyyyy.yyyyyy.ad.jp (xx3.xx8.x2.x5) 1.332 ms 1.337 ms 1.322 ms
5 * * *
6 * * *
7 xx1.xx8.x6.xx0 (xx1.xx8.x6.xx0) 2.445 ms 2.419 ms 2.379 ms
8 xx1.xx8.xx0.x2 (xx1.xx8.xx0.x2) 1.653 ms 1.435 ms 1.717 ms
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
DNSから先に出て行くようになりました。
この時点でTLS1.2で通信も出来る様になってい
Paypalなどは到達出来ていたので、DNSレコード破損か障害などだったのかも
知れません、TimeOutが起こった場合にTracerouteを使って調査する事も
解決の早道かと思います。
訂正します。
>DNSレコード破損か障害などだったのかも
TracerouteでIP取れてますのでDNSは通過してますね。
投稿2019/03/28 06:05
編集2019/03/29 01:55総合スコア16
あなたの回答
tips
プレビュー
