[Perf issue diagnostic] dotnet core takes long time to verify x509 certificate on Ubuntu 18.04

最新推荐文章于 2020-09-05 08:36:21 发布
最新推荐文章于 2020-09-05 08:36:21 发布
阅读量191 收藏
点赞数
分类专栏: 软件测试 编程技巧 软件问题 文章标签: dotnet core 3 openssl x509
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/penngrove/article/details/90714835
版权

After installing dotnet core 3.0 preview 5 and openssl 1.1.1 on my Ubuntu 18.04, I found the x509 certificate validation takes long time (> 3 min for 1000 validations). The x509 certificate validtion benchmark is from https://github.com/dotnet/corefx/issues/35086. What happens?

Diagnostic process:

1. Check CPU usage: less than 10%, it is almost idle. So, there may be other reasons.

2. Check network. I used "iftop" and found there is access to "apps.digsigtrust.com" (or "192.35.177.xx") when the benchmark running. After the benchmark finishes, that access disappears. It looks like during x509 validation, it goes to network to download something.

3. Further diagnostic: when the benchmark is running, use "top" to get its PID. Then use "strace -p $PID" to check all system calls. I saw below. Obviously, the benchmark does not find expected CA.

stat("/home/xx/.dotnet/corefx/cryptography/x509stores/disallowed", 0x7fff27e3ea30) = -1 ENOENT (No such file or directory)
lstat("/home/xx/.dotnet/corefx/cryptography/x509stores/disallowed", 0x7fff27e3ea40) = -1 ENOENT (No such file or directory)
lstat("/usr/local/ssl/cert.pem", 0x7fff27e3e9f0) = -1 ENOENT (No such file or directory)
lstat("/usr/local/ssl/certs", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
lstat("/home/xx/.dotnet/corefx/cryptography/x509stores/root", 0x7fff27e3ea10) = -1 ENOENT (No such file or directory)
lstat("/home/xx/.dotnet/corefx/cryptography/x509stores/ca", 0x7fff27e3ea10) = -1 ENOENT (No such file or directory)
lstat("/home/xx/.dotnet/corefx/cryptography/x509stores/my", {st_mode=S_IFDIR|0775, st_size=4096, ...}) = 0
stat("/etc/localtime", {st_mode=S_IFREG|0644, st_size=554, ...}) = 0
recvmsg(45, 0x7fff27e3dce0, 0) = -1 EAGAIN (Resource temporarily unavailable)
sendmsg(45, {msg_name(0)=NULL, msg_iov(1)=[{"GET / HTTP/1.1\r\nHost: cert.int-x"..., 53}], msg_controllen=0, msg_flags=0}, 0) = 53

After checking those folders, I saw it check "/usr/local/ssl/certs". Typically, that is the path where all installed CA certificates locate. But it is empty now. Instead, I found "/usr/lib/ssl/certs" is pointed to /etc/ssl/certs/ where I can find many CA certficates.

It looks like the root cause is openssl did not find the correct CA path. Finally, I thought that were caused by updating openssl.

Before updating openssl

$ openssl version -d
OPENSSLDIR: "/usr/lib/ssl"

After updating openssl

$ openssl version -d
OPENSSLDIR: "/usr/local/ssl"

Solution:

create softlink for /usr/local/ssl/certs to point to /etc/ssl/certs. Then the benchmark indicates 1000 iteration only takes 0.6 second.

Lession learn:

After updating openssl, make sure its certificate searching path is correct!

penngrove
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
.net core 调用数字证书 使用X509Certificate2
weixin_34381666的博客
01-09 1468
 .NET下面的 .netfromwork使用和asp.net core下使用方式不一样 配置文件中代码: public const string API_URL = "https://api.mch.weixin.qq.com/mmpaymkttransfers/promotion/transfers"; /// <summary> ...
通过maven 打docker 镜像包,出错ADD failed: stat /var/lib/docker/tmp/docker-builderXXXXXX: no such file or dir
热门推荐
LMC技术人生专栏
07-05 4万+
直接用maven打包成docker镜像的时候,就报这个错, 最开始以为是 <artifactId>spring-boot-starter-parent</artifactId><version>2.0.3.RELEASE</version> 版本问题,改成1.5.6版本就可能 顺利打包,最后排查到是打包文件名不一致,坑啊其实就是pom.xml文件与d...
.net X509Certificate2 私钥加密,公钥验证
ljz1985dd的博客
09-10 6883
.net X509Certificate2 私钥加密,公钥验证 公钥验证 var cer = new X509Certificate2(path); if (cer != null)//获取公钥 { RSACryptoServiceProvider pubkey = (RSACryptoServ...
执行链接时报错:No such file or directory
敟當柒秒哋魚
08-30 7214
<br />Im going to install arm-linux-gcc 4.2.2-eabi to ubuntu, but I got this error when i try to compile the source code:<br />root@zanget:/home/4.2.2-eabi/usr/bin# ./arm-linux-gcc arm-linux-gcc: No such file or directory<br />root@zanget:/home/4.2.2-eabi
Ubuntu18.04安装opencv 3.2.0的解决方法
09-15
Ubuntu 18.04上安装OpenCV 3.2.0可能遇到一些挑战,但通过遵循正确的步骤,这些问题可以被顺利解决。OpenCV是一个强大的计算机视觉库,广泛应用于图像处理、机器学习和人工智能等领域。以下是安装过程的详细步骤:...
windows10与Ubuntu18.04双系统安装与使用
03-10
"Windows 10 与 Ubuntu 18.04 双系统安装与使用" 本文将指导您如何在 Windows 10 中安装 Ubuntu 18.04 双系统,详细介绍了安装过程中的每个步骤,以及需要注意的重要事项。 1. Windows 10 环境安装注意事项 在...
ubuntu20.04离线安装perf3
11-15
Ubuntu 20.04系统中离线安装iperf3是一个常见的需求,特别是在没有互联网连接或者网络环境受限的情况下。iperf3是一个强大的网络性能测试工具,它允许用户测量TCP和UDP带宽性能,这对于网络优化、服务器性能评估...
compile-time-perf:在编译期间测量高级时序和内存使用量度
03-25
因此,我创建了compile-time-perf (CTP),它被设计为用于编译大型项目的高级“探查器”。 它被设计为易于安装,编译器和语言不可知,并作为CI的一部分包含在内。 它不打算替换-ftime-trace类的编译器标志,而是对...
dropwizard-perf-issue
06-22
Dropwizard 0.8.0-rc4 Hibernate... cd dropwizard-perf-issue gradle singleJar java -jar ./build/libs/app.jar server hello-world.yml > /dev/null 此时,您应该针对 URL 运行一些基准测试。 我能够在 MacbookP
Linux Kernel CMPXCHG函数分析
penngrove的专栏
03-10 1万+
Linux Kernel中cmpxchg解析
LDAP SSL 连接
penngrove的专栏
10-13 1万+
使用SSL来连接LDAP server有多种方法(http://yagodnoe.ifmo.ru/~ad/Documentation/jndi-1_4_2-tutorial/ldap/security/ssl.html#SERVER),但大都需要client端指定keystore和password,其实对于大部分应用,client会接受server端的证书,所以更通用的方法是应用前面链接中提到的Custom Socket Factory.下面给出示例:DummyTrustManager:package co
避免缓冲区溢出的方法
penngrove的专栏
09-15 9248
缓冲区溢出一般是由于一下原因导致: 1.字符串处理函数没有指定长度,单单凭借结尾字符是不是'\0'来判断结束。 2.被处理的字符超过缓冲区可接受的大小。例如,从屏幕输入字符串:gets(buff),但是buff的内存少于屏幕一行字符个数,就会导致溢出,应该使用fgets。 3.所有格式化字符串的函数:fprintf("%n",&num_write)。 避免的办法: 1.不要用%n
.Net网络程序对HttpRequest增加Header
penngrove的专栏
07-25 4025
对C# webapp的HttpRequest设置/增加Header,没有官方的介绍,在网上找到了两篇介绍,但是第一种只能在windows2003上工作,在windows2008上不行。第二种都适用,显然,第二种方法是可以接受的方案 1. http://forums.asp.net/p/979853/1250479.aspx 2. http://stackoverflow.com/quest
Java Singleton
penngrove的专栏
07-21 3937
Java的单例模式在Effective Java里面有权威的做法,就是用Enum。这是最完美的做法。它利用Java自身语言机制保证了内存中只有一份拷贝,同时它也让那些想通过Reflection + setAccessable()的攻击单例的做法失败。 下面列出来4中Singleton实现,然后分别用Reflection + SetAccessable()来攻击单例,如果能创建出两份单例,就认为攻
Palindrome number
penngrove的专栏
07-31 1566
回文字符串: =============Question================ Now that the king knows how to find out whether a given word has an anagram which is a palindrome or not, he is faced with another challenge. He realizes
如何用IntelliJ IDE build & run Spark
penngrove的专栏
01-08 1207
准备工作: 1. 下载并安装java 1.8(spark依赖) 2. 下载IntelliJ Community版本并安装,配置JDK。在欢迎界面右下角,选择Configure,选Structure for New Projects,在弹出来的对话框里面选择SDKs,找到你的JAVA_HOME,指定好,保存。 3. 下载spark源代码,本博客使用spark 2.3.0 4. 安装sca...
Spark-UDF优化之一:Key-Value提取性能提升20倍
penngrove的专栏
09-05 965
Spark-UDF优化之一:性能提升20倍 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 User define function是Spark-SQL中容易被忽视的一部分,但在真实业务场景中,有大量的应用。比如,用户的行为分析,需要将用户登录的客户端,访问了产品的的哪些页面,点击了哪些商品等等信息存储在一张单独的数据库表中,这些信息一般都没有存储在固定的列,而是以key-value的形式,类似URL的参数一样编码在一个长..
编程获得程序运行的Trace stack信息
penngrove的专栏
08-31 773
C/C++得到trace stack信息的办法: https://www.evernote.com/shard/s5/sh/3c9fc88a-fbc2-498e-a4e4-881fcc4cbb24/46850f47cdac789ce3749760de81e487 Java得到trace stack信息的办法: public static void printStackTrace() {
基于Matlab的模糊PID控制系统设计及仿真.pdf
最新发布
08-05
基于Matlab的模糊PID控制系统设计及仿真
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值