[HTTP2] Mise en place sur un BigIP F5

 

Mise en place de HTTP|2 sur un BigIP F5
Article original Publié le : 09 novembre 2019
Mise a jour le :

 

Cela s’active sur le VS du site

 

Mais a l’activation cela renvoi l’erreur suivante

Configuration error: In Virtual Server (/Common/url_site.domaine.tld_https) an http2 profile with enforce-tls-requirements enabled is incompatible with client ssl profile '/Common/ssl_client_xxx_tls12'; renegotiation must be disabled

 

Il y a plusieurs profiles ssl déclarés dans ce VS et comme indiqué dans l’erreur la renégociation est incompatible avec enforce-tls-requirements

Il faut donc modifier chaque profile et décocher la renégociation,

Local Traffic ›› Profiles : SSL : Client ›› ssl_client_xxx_tls12

/!\ Il est nécessaire de désactiver sur tous les profils liés a ce VS, sinon il y aura un des erreurs de synchronisation avec le slave.

 

Pour faire le test

$ curl -vsko /dev/null --http2 https://url_site.domaine.tld
* Rebuilt URL to: https://url_site.domaine.tld/
*   Trying xxx.xxx.xxx.xxx...
* TCP_NODELAY set
* Connected to url_site.domaine.tld (xxx.xxx.xxx.xxx) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
} [5 bytes data]
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
} [512 bytes data]
* TLSv1.3 (IN), TLS handshake, Server hello (2):
{ [104 bytes data]
* TLSv1.2 (IN), TLS handshake, Certificate (11):
{ [2922 bytes data]
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
{ [333 bytes data]
* TLSv1.2 (IN), TLS handshake, Server finished (14):
{ [4 bytes data]
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
} [70 bytes data]
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
} [1 bytes data]
* TLSv1.2 (OUT), TLS handshake, Finished (20):
} [16 bytes data]
* TLSv1.2 (IN), TLS handshake, Finished (20):
{ [16 bytes data]
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use h2
* Server certificate:
*  subject: OU=Domain Control Validated; CN=*.domaine,tld
*  start date: Oct 12 07:05:56 2017 GMT
*  expire date: Oct 12 07:05:56 2020 GMT
*  issuer: C=BE; O=GlobalSign nv-sa; CN=GlobalSign Domain Validation CA - SHA256 - G2
*  SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
} [5 bytes data]
* Using Stream ID: 1 (easy handle 0x55e1cc88c5a0)
} [5 bytes data]
> GET / HTTP/2
> Host: url_site.domaine.tld
> User-Agent: curl/7.58.0
> Accept: */*
> 
{ [5 bytes data]
* Connection state changed (MAX_CONCURRENT_STREAMS updated)!
} [5 bytes data]
< HTTP/2 302 
< date: Mon, 21 Oct 2019 13:54:12 GMT
< x-redirect-by: WordPress
< location: /?doing_wp_cron=1571666053.1167740821838378906250
< content-type: text/html; charset=UTF-8
< set-cookie: BIGipServerpool_pool_http=3456106506.20480.0000; path=/; Httponly; Secure
< 
{ [5 bytes data]
* Connection #0 to host url_site.domaine.tld left intact

 

 

No votes yet.
Please wait...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.