使用OpenSSL进行TLS版本协商，可以通过指定客户端或服务器支持的TLS版本来实现。以下是一些基本步骤和示例：

启动OpenSSL客户端并指定TLS版本：使用openssl s_client命令，并通过-tls1_2、-tls1_3等选项来指定TLS版本。

openssl s_client -connect example.com:443 -tls1_2

这个命令会尝试与example.com的443端口建立TLS 1.2连接。

检查服务器支持的TLS版本：你可以使用-tls1_2、-tls1_3等选项来测试服务器支持的TLS版本。

openssl s_client -connect example.com:443 -tls1_3

如果服务器支持TLS 1.3，连接将会成功；如果不支持，则会失败。

配置OpenSSL服务器以支持特定TLS版本：在服务器配置文件（通常是openssl.cnf）中，你可以指定支持的TLS版本。

[system_default_sect]MinProtocol = TLSv1.2

这个配置会使得服务器只接受TLS 1.2及以上版本的连接。

重启服务器：修改配置文件后，重启服务器以应用更改。

如果你希望通过编程方式使用OpenSSL进行TLS版本协商，可以使用Python的ssl模块。

import sslimport socket# 创建一个TCP/IP套接字sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)# 包装套接字以使用SSL/TLScontext = ssl.create_default_context(ssl.Purpose.SERVER_AUTH)context.options |= ssl.OP_NO_TLSv1 | ssl.OP_NO_TLSv1_1# 禁用TLS 1.0和1.1# 连接到服务器with context.wrap_socket(sock, server_hostname='example.com') as ssock:print(f"Connected with {ssock.version()}")# 发送HTTP请求request = "GET / HTTP/1.1\r\nHost: example.com\r\nConnection: close\r\n\r\n"ssock.sendall(request.encode())# 接收响应response = ssock.recv(4096)print(response.decode())

在这个示例中，我们创建了一个SSL上下文，并禁用了TLS 1.0和1.1，从而确保只使用TLS 1.2或更高版本进行连接。

通过这些方法，你可以灵活地控制和协商TLS版本，以确保通信的安全性和兼容性。