TLS/SSL Troubleshooting(翻译)

最新推荐文章于 2024-10-05 11:27:00 发布
最新推荐文章于 2024-10-05 11:27:00 发布
阅读量190 收藏
点赞数
文章标签: 大数据 操作系统 shell
原文链接:http://www.cnblogs.com/pengsir/p/6497650.html
版权

简介

  本文收集了一些信息,以帮助排查 SSL 错误。故障识别的策略是使用其它 SSL 实现来测试相关组件。

  请记住,如果两个指定的组件之间存在相互影响,从而导致了该问题,那么这种方法不能够保证能够识别出该问题。

  我们还介绍了一些你可能在日志中看见的常见错误消息

检查 Erlang 是否支持 SSL

  建立到 broker 的 SSL 连接的第一个需求就是,broker 支持 SSL。通过运行 erl shell 并输入如下内容,确保 Erlang VM 支持 SSL。

ssl:versions().

  上面命令的输出类似于下面的样子(版本号可能有所不同):

[{ssl_app,"5.3.6"},
 {supported,['tlsv1.2','tlsv1.1',tlsv1]},
 {available,['tlsv1.2','tlsv1.1',tlsv1]}]

  如果你运行命令后得到了一个错误,请确保 Erlang 构建的时候使用了 OpenSSL。在基于 Debian 系统上,你可以需要安装 erlang-ssl package。

使用 OpenSSL 检验秘钥和证书

  我们现在将使用另一个 SSL 实现来验证配置文件中指定的证书和秘钥。这个例子使用了 OpenSSL s_clients_server。我们将确保使用的证书和秘钥能够在两个终端之间建立安全的链接。对于下面的例子,我们假设你具有以下内容:

Item                                             Location                                                   
CA certificatetestca/cacert.pem
Server certificateserver/cert.pem
Server keyserver/key.pem
Client certificateclient/cert.pem
Client keyclient/key.pem

  在一个终端窗口执行如下指令:

openssl s_server -accept 8443 -cert server/cert.pem -key server/key.pem -CAfile testca/cacert.pem

  在另一个终端窗口执行:

openssl s_client -connect localhost:8443 -cert client/cert.pem -key client/key.pem -CAfile testca/cacert.pem

  如果证书和秘钥已经被正确创建,一条 SSL 链序列将出现,同时这两个终端将会被相互连接。在一个终端中输入,将会出现在另一个终端上。如果受信任链接建立,第二个终端将出现如下信息:

Verify return code: 0 (ok)
If you receive an error, confirm that the certificates and keys were generated correctly.

检查 broker 是否正在监听

  该步骤是检查 broker 是否正在我们期望的 AMQPS 端口上进行监听。当你使用一个可用的 SSL 配置文件启动 broker 后,在 logfile 中,这个 broker 将打印出 SSL 监听的地址。你可能看到类似于以下的信息:

=INFO REPORT==== 8-Aug-2011::11:51:47 ===
started SSL Listener on 0.0.0.0:5671

  如果你的配置文件中包含 ssl_listeners 配置指令,但是你并没有看见这条信息,最有可能的情况就是 broker 没有读取到你的配置文件。确保被 broker 引用的配置文件包含 SSL 配置选项。

尝试和 broker 进行 SSL 连接

  一旦,你的 rabbitmq broker 在 SSL 端口上进行监听,你可以使用 OpenSSL s_client 检查 SSL 连接,这次是针对于 broker。这样检测可以证实 broker 是否配置正确,而不必配置 AMQPS client。下面的例子假设 broker 设置了 ssl_listeners 选项,并在本地上监听 SSL 连接的 5672 端口。

openssl s_client -connect localhost:5671 -cert client/cert.pem -key client/key.pem -CAfile testca/cacert.pem

  输出类似于使用 8443 端口的情况。当这个连接建立时,broker 的日志文件中应该包含一如下条目。

=INFO REPORT==== 8-Aug-2011::11:55:13 ===
accepting AMQP connection <0.223.0> (127.0.0.1:58954 -> 127.0.0.1:5671)

  现在应该可通过 SSL 链接向 broker 提供 AMQP 连接建立序列。如果你向 broker 提供 8 个随机字节,broker 将在被编码版本号后紧跟 "AMQP" 字符串作为响应。如果你能够识别 “AMQP” 字符串,你可以确信你已经连接到 AMQP broker。

使用 stunnel 验证 client 连接

  最终的检查是验证 AMQPS clients。我们将使用 stunnel 来提供 SSL 能力。在此配置文件中,AMQPS clients 将建立一条到 stunnel 的安全连接,它将传递解密后的数据给 broker 的 AMQP 端口。这提供了一些信心,因为独立于 broker 的 SSL 配置,客户端的 SSL 配置是正确的。 

  stunnel 将以守护进程的方式运行与 broker 相同的主机上。在下面的讨论中,假设 stunnel 将仅被临时使用。当然,也可以永久地使用 stunnel 提供 SSL 能力,但是随着 broker 集成的缺乏,这将意味着管理报告能力和使用 SSL 信息的认证插件将不能够这样工作。

  在下面的例子中,stunnel 将连接到 broker 的非加密 AMQP 端口(5672),并且在端口 5679 接受 SSL-capable client 的 AMQPS 链接。

cat client/key.pem client/cert.pem > client/key-cert.pem
stunnel -r localhost:5672 -d 5679 -f -p client/key-cert.pem -D 7

  stunnel 需要证书和相应的秘钥。使用生产的客户端证书和相应的秘钥,并且应该紧跟在如上的 cat 命令之后。Stunnel 需要不受密码保护的秘钥。

  SSL-capable clients 现在应该能够连接上 5679 端口了,当启动 stunnel 后,任何 SSL 错误将出现在控制台上。

连接 client 和 broker

  如果前面的步骤没有发生任何错误,那么你可以自信地将 tested AMQPS client 连接到 broker 的 AMQPS 端口,请先确保已经停止了任何正在运行的 OpenSSL 或者 stunnel sessions。

证书链和验证深度

  当使用中间 CA 签名的 client 证书时,为了使用更高的验证深度,可能需要配置 RabbitMQ server。验证深度是指,在有效证书路径下,遵循 peer 证书的非自颁发中间证书的最大数目。

  参考 TLS/SSL 指南了解如何配置验证深度.

理解 TLS 连接日志错误

  在前面的很多步骤中,都将生成新的 broker 日志文件条目。这些条目和在控制台上执行命名后的动态输出将有助于确定与 TLS 相关的错误原因。以下是最常见的错误条目列表:

{undef, [{crypto,hash,...

  在使用的 Erlang/OTP 中没有安装加密模块,或者加密模块以及过期了。在 Debian、Ubuntu 和其它 Debian 派生出的分布式操作系统中,上面的错误通常意味着没有安装 erlang-ssl package。

{ssl_upgrade_error, ekeyfile} or {ssl_upgrade_error, ecertfile}

  这意味着 broker 秘钥文件或者证书文件不可用。请确认秘钥文件和证书相匹配,并且都是 PEM 格式。利用可识别的分隔符,PEM 格式是可一种可打印编码。(PEM 实质上是 Base64 编码的二进制内容,再加上开始和结束行)。证书以 -----BEGIN CERTIFICATE----- 开始,以 -----END CERTIFICATE----- 结束。秘钥文件类似地以 -----BEGIN RSA PRIVATE KEY----- 作为开始行,以 -----END RSA PRIVATE KEY----- 作为结束行。

{ssl_upgrade_failure, ... certify ...}

  此错误与客户端验证有关。client 提供了无效的证书或者没有提供证书。如果 ssl_options 设置 verify 选项为 verify_peer,请临时尝试使用 verify_none 作为 verify 的值。请确保 client 证书已经正确生成,并且 client 提供了正确的证书。

{ssl_upgrade_error, ...}

  这是一个容易出现的错误,造成这种错误的原因有很多。请确保你使用了我们推荐的 Erlang 版本。

{tls_alert,"bad record mac"}

  server 已经尝试验证其收到的一条数据的完整性,但是检查失败了。这可能是由于网络设置、unintentional socket sharing in the client (e.g. due to the use of fork(2))或者 TLS client 的 bug 导致的问题。

  http://www.cnblogs.com/pengsir

转载于:https://www.cnblogs.com/pengsir/p/6497650.html

weixin_34153893
关注
Linux下安装Erlang
試毅-思伟_技术博客
03-01 27万+
Linux下安装Erlang 一、升级openssl # cd /usr/local/ # wget http://www.openssl.org/source/openssl-1.0.1s.tar.gz # tar -zxvf openssl-1.0.1s.tar.gz # cd openssl-1.0.1s # ./config --prefix=/usr/local/openssl #...
idea 出现[08S01] 驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接。错误:“The server selected protocol 解决方法
码农研究僧的博客
07-13 446
Failed Copy Search Error Troubleshooting [08S01] 驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接。 错误:“The server selected protocol version TLS10 is not accepted by client preferences [TLS13, TLS12]”。 The server selected protocol version TLS10 is not accepted
Troubleshooting TLS-enabled Connections
BLOG域名:programb.blog.csdn.net
04-22 287
Overview This guide covers a methodology and some tooling that can help diagnose TLS connectivity issues and errors (TLS alerts). It accompanies the main guide on TLS in RabbitMQ. The strategy is to t...
suse Linux安装 rabbitmq创建用户失败怎么解决
海南小黑仔的博客
01-16 2638
suse Linux安装 rabbitmq创建用户失败怎么解决 er admin admin Creating user “admin” Error: {undef, [{crypto,hash,[sha256,<<253,22,240,201,97,100,109,105,110>>],[]}, {rabbit_password,hash,2, [{file,“src/r...
[Erlang]如何在Erlang中使用SSL
Sunface撩技术
06-25 6452
原创文章,转载请注明出处:服务器非业余研究http://blog.csdn.net/erlib 作者Sunface   最近准备写一个SSL服务器,结果发现网上相关的资料很少,因为特地在此给大家分享一下SSL的基本使用方法.SSL在使用上跟Tcp很像,但是也由区别。首先需要一个SSL证书,可以在参考这篇文章创建。下面的代码实现了服务端和客户端,对于有经验erlang同学,应该很容易理解了,就不赘述
centos7上配置RabbitMQ的TLS加密访问
gosh2019的博客
05-27 718
安装好rabbitmq后再进行后续步骤的配置 一、直接使用 tls-gen 来生成CA证书密钥(在这之前需先安装 python3.5, make, openssl) 这里面的 PASSWORD 是自己指定的,可改为其他密码 git clone https://github.com/michaelklishin/tls-gen tls-gen cd tls-gen/basic
SSL基础:2:OpenSSL LTS版本升级方法
知行合一 止于至善
12-08 2802
OpenSSL目前属于LTS 1.0.2系列和1.1.1系列并存的状态,前者将在2019年底完成使命退出支持,而1.1.1的LTS版本将会支持至2023年9月11号为止。在yum或者apt-get的源仓库没有提供相关的二进制安装的情况下,最简单的更新方式就是从源码编译并更新了,这篇文章以CentOS 7.6为例,介绍一下如何将OpenSSL升级至1.1.1版本。
openssl: 错误SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED
mzhan017的博客
11-15 1万+
文章目录错误envoyAWS总结的可能原因 错误 2021-11-15 03:35:51.692][359][debug][connection] [source/extensions/transport_sockets/tls/ssl_socket.cc:225] [C8] TLS error: 268435581:SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED [2021-11-15 03:35:51.692][359][debug][co
Troubleshooting with Wireshark
01-09
4. 协议分析:Wireshark深入分析了各种网络协议,如TCP/IP、HTTP、DNS、SSL/TLS等。了解这些协议的工作原理对于网络故障排除至关重要。Wireshark通过图形化的界面将协议的层次结构清晰地展示出来,便于用户查找和...
erlang 各版本安装
yangzm的专栏
12-25 7942
http://docs.basho.com/riak/1.3.0/tutorials/installation/Installing-Erlang/ Installing Erlang Contents Install using kerlInstalling on GNU/LinuxInstalling on Mac OS X Riak 1.2, 1.2.
rabbitmq添加用户失败
iteye_16382的博客
12-15 3359
rabbitmq 添加用户时报如下错误 Error description:   {could_not_start,rabbit,       {notsup,           [{crypto,sha256,1,[{file,"crypto.erl"},{line,857}]},            {rabbit_password,hash,2,                [{...
如何解决SSL/TLS握手过程中失败的错误?
热门推荐
流风回雪的博客
02-17 3万+
How to fix the SSL/TLS Handshake Failed error Fixes for the SSL/TLS Handshake Failed error for both internet users and site owners It’s time for another technical article, today we’re going to di...
mac rabbitmq安装并使用管理界面
topdeveloperr的博客
08-13 4439
在mac上使用rabbitmq比较简单,到rabbitmq官网下载对应的包,然后解压到任意路径,再启动位于sbin目录下的rabbitmq-server即可启动rabbitmq,启动好的画面如下: Last login: Tue Aug 13 18:28:57 on ttys000 C02Z10BKLVDQ:~ i333750$ /Users/i333750/Documents/tools/r...
[TroubleShooting]Neither the partner nor the witness server instance for database is availble
码农, 农民工的程序人生
04-28 1494
Problem: You are trying to setup a mirroring on a Database called xxxDB(SQL server 2012). You are getting this error while trying to setup mirroring. “Neither the partner nor the witness server ins
rabbitmq {ssl_upgrade_error, timeout} 报错解决方法
weixin_34221073的博客
06-14 237
正常工作两年的后台在端午节期间傲娇了,所有的被管理服务器状态全部变成down,之后查看后台日志,谷歌,没找到原因,之后查看rabbitmq的日志,发现报错{ssl_upgrade_error, timeout},太含蓄了,又谷歌找了篇太监文,没办法自己试吧,第一思路是ssl证书的问题,可以更新下。从rabbitmq的官方网站上找到了制作ssl证书的内容,试了一下,竟然成功了,...
Erlang安装时加载openssl的libcrypto.a失败,执行crypto:start()报错的解决方案
Rolong的博客
03-12 1万+
两个多月前写过一篇关于这个问题的文章,由于写得比较简略,很多同学还是很纠结这个问题,所以在此补充一下具体的操作过程。很多同学根据我上一篇文章重装后仍然失败的原因,常见的有如下几个: 1、加-fPIC参数重装openssl后,不明确新编译出来的静态库libcrypto.a在哪里,如果以前有安装过的,不明确是否被覆盖; 2、对于已经编译安装过的源码目录,没有执行make clean; 2、重装erlang时,没有具体指定最新安装的ssl目录; 3、重装erlang后,直接执行erl时,仍然执行了老的erl,可以
Windows Server Troubleshooting: "The RPC server is unavailable"
embededvc的专栏
01-22 6227
Windows Server Troubleshooting: "The RPC server is unavailable" Table of Contents Introduction The RPC Server The RPC Client RPC Quick Fixes Unable to resolve DNS or Ne
RabbitTemplate与AmqpTemplate:Spring AMQP中的消息传递模板
最新发布
qq_51321722的博客
10-05 543
是Spring AMQP框架的核心接口,它定义了一套标准的AMQP操作,如发送和接收消息、声明队列和交换机等。这个接口是对AMQP协议的抽象,提供了一种面向对象的方式来操作AMQP协议。它基于RabbitMQ的Java客户端库实现,使得开发者可以通过Spring框架的依赖注入和配置机制来简化与AMQP消息队列系统的交互。而则是Spring AMQP为RabbitMQ提供的一个高级消息操作模板。它实现了接口,并添加了一些针对RabbitMQ的特性和优化。不仅提供了与。
TLS/SSL协议详解:保护数据传输的安全技术
TLS/SSL的核心在于提供安全的通信环境,通过加密技术和数字证书来确保数据的完整性和私密性。它们基于公钥基础设施(PKI),其中公钥用于加密,私钥用于解密。当客户端(如浏览器)尝试连接到服务器(如网站)时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值