înregistrare Logare
Puncte:0
avatar Server

TLS 1.2 Client salut, rezultând resetarea TCP

drapel ph
jdelen

Am încercat să configurez un mediu de testare în care am un serviciu Windows care găzduiește un IDP. IDP este, din motive vechi, disponibil atât folosind HTTP, cât și HTTPS. Pe aceeași gazdă am implementat și un program de testare care ar trebui să apeleze serviciul și să testeze IDP-ul. Gazda rulează Windows Server 2016 Standard.

Când apelez IDP folosind HTTPS, primesc o resetare TCP ca răspuns la Client Hello:

    Tip de conținut: strângere de mână (22)
    Versiune: TLS 1.2 (0x0303)
    Lungime: 156
    Protocol de strângere de mână: Client Salut
        Tip de strângere de mână: Client Bună ziua (1)
        Lungime: 152
        Versiune: TLS 1.2 (0x0303)
        Aleatoriu: 61404bb1f286d56caf2a6f1eb9d47f62ea8e7c8dd7764e6654d56ab4f90fef7a
        Lungimea ID sesiunii: 0
        Cipher Suites Lungime: 56
        Suite Cipher (28 apartamente)
            Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)
            Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)
            Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
            Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)
            Cipher Suite: TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x009f)
            Cipher Suite: TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x009e)
            Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024)
            Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023)
            Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
            Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)
            Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a)
            Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009)
            Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)
            Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)
            Cipher Suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x0039)
            Cipher Suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x0033)
            Cipher Suite: TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)
            Cipher Suite: TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
            Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)
            Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c)
            Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
            Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)
            Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)
            Cipher Suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (0x006a)
            Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (0x0040)
            Cipher Suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA (0x0038)
            Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA (0x0032)
            Cipher Suite: TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA (0x0013)
        Metode de compresie Lungime: 1
        Metode de compresie (1 metodă)
            Metoda de compresie: nul (0)
        Lungimea extensiilor: 55
        Extensie: suported_groups (len=8)
            Tip: grupuri_suportate (10)
            Lungime: 8
            Lungimea listei de grupuri acceptate: 6
            Grupuri acceptate (3 grupuri)
        Extensie: ec_point_formats (len=2)
            Tip: ec_point_formats (11)
            Lungime: 2
            Formate de puncte EC Lungime: 1
            Formate de puncte pentru curbele eliptice (1)
        Extensie: signature_algorithms (len=20)
            Tip: algoritmi_semnătură (13)
            Lungime: 20
            Lungimea algoritmilor hash de semnătură: 18
            Algoritmi Hash de semnătură (9 algoritmi)
        Extensie: session_ticket (len=0)
            Tip: bilet_sesiune (35)
            Lungime: 0
            Date (0 octeți)
        Extensie: extended_master_secret (len=0)
            Tip: extended_master_secret (23)
            Lungime: 0
        Extensie: renegotiation_info (len=1)
            Tip: renegotiation_info (65281)
            Lungime: 1
            Extensie Informații de renegociere

Am încercat câteva metode diferite de generare a certificatului. Acest jurnal folosea un certificat generat cu power shell pe aceeași gazdă care rulează testul:

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -DnsName "host.com" -FriendlyName "host.com" -NotAfter (Get-Date).AddYears(10)

De asemenea, am încercat să folosesc certificatul care este instalat cu aplicația noastră, dar obțin același rezultat.

Când faceți același test pe două gazde Windows 10 unde certificatele au fost generate în același mod. Unul dintre ele generează, de asemenea, un răspuns de resetare TCP pe Client Hello, în cazul în care celălalt funcționează conform intenției și sunt capabil să mă autentific cu IDP.

Apelarea IDP folosind HTTP funcționează întotdeauna.

Această problemă ar putea fi din cauză că folosesc interfața loopback în timp ce setez numele DNS la „host.com”? În acest caz, care ar trebui să fie DNS-ul? Folosirea „localhost” și „127.0.0.1” are ca rezultat resetarea TCP. Sau ar putea exista o configurație care blochează conexiunea? S-ar putea crede că, de la generarea certificatului pe aceeași gazdă care rulează aplicația și serviciul, toate cifrurile ar fi suportate de server.

249
0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.