sql server ssl安全错误_nginx ingress controller配置默认SSL证书

最新推荐文章于 2024-02-02 16:14:31 发布
最新推荐文章于 2024-02-02 16:14:31 发布
阅读量240 收藏
点赞数
文章标签: sql server ssl安全错误

故障现象

线上某kubernetes集群环境,使用nginx-ingress-controller暴露了一个service,为一个API服务,其中在ingress对象中使用了TLS证书,使用浏览器输入ingress对应的域名访问这个API service,请求正常,但是某程序使用SDK调用此service,始终无法拿到结果。

ingress的yaml文件类似如下

fcd8af4b2052c61c2f0fd19c6d30ecbb.png

排查

  1. sdk调用ingress时nginx-ingress-controller的日志信息,发现有如下报错
2020/04/01 04:49:01 [error] 12173#12173: *6506108 [lua] cert.lua:58: no cert found for 443, context: ssl_certificate_by_lua*, client: x.x.x.x, server: 0.0.0.0:443 2020/04/01 04:49:01 [crit] 12173#12173: *6506107 SSL_do_handshake() failed (SSL: error:1417A179:SSL routines:tls_post_process_client_hello:cert cb error) while SSL handshaking, client: x.x.x.1x6, server: 0.0.0.0:443

google上述信息,没有找到相关case。

  1. 使用tcpdump对nginx-ingress-controller抓包,分析sdk请求时候的数据流,拿到抓包文件后用wireshark打开,发现如下错误信息。
630885507cbc0435e3b9e9302950adc0.png
677f5abea6966daf57bc2c94efd40a34.png

分析此数据包,可以看出SDK客户端发出client_hello请求后,服务器端立马返回了报错,SSL握手未完成。

  1. 正常SSL握手过程如下图,结合抓包结果,可以发现服务器端nginx-ingress-controller没有返回server_hello信息给客户端,而是直接报错,日志信息则是提示未发现证书。
f6bababe74407238f723004ffdac8247.png
  1. 分析此ingress对应的yaml文件一切正常,同时从现象看,浏览器请求正常的,只是sdk调用异常,问题应该和客户端关联,于是对sdk请求时和浏览器请求时分别抓包的client_hello包进行对比,发现不同,sdk的client_hello包,extension字段未传递server_name.在openresty也搜到如下信息
08d752b69b152f5ff016e68e0ade6401.png
  1. 综上,SDK客户端为非标准客户端,访问不带sni及server_name信息,导致nginx-ingress-controller无法通过sni和server_name找到对应的证书。

解决

长远看,需要SDK客户端解决请求不带server_name的问题。在nginx-ingress-controller无法通过sni和server_name找到对应的证书时,其会使用默认的端口证书,临时通过配置默认端口证书解决。在nginx-ingress-controller的启动参数,增加default-ssl-certificate指向此ingress引用的证书。

abb4faab0a9e279e827db3f2bc24849a.png

参考:HTTPS 之 SSL/TLS 握手协议(Handshake Protocol)全过程解析

weixin_39890452
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql server ssl安全错误_TLS/SSL 证书解读 (三)
weixin_39835147的博客
12-08 1811
TLS/SSL 证书解读 (三)TLS/SSL 优化TLS/SSL主要的性能调优简单包括: 启用 False Start, 选择合适 cipher suite,resumption 等. 另外, 如果你追求fashion, 那么 HTTP/2 也是个不错的选择.设置 session 缓存session 缓存设置可以让两次的 RTT, 变为一次, 这相当于快了一倍(不包括密钥计算等). ...
sql server ssl安全错误_连接SQL Server 2017报 SSL安全错误
weixin_39907762的博客
12-09 8143
最近客户公司的环境进行升级,上云和升级到SQLServer2017,环境搭建好后,在配置数据库连接的时候,报SSL安全错误。 经过排查,发现原来的SQL Server Driver在新环境下不能连接到SQL Server 2017。 通过查阅相关文档和与客户公司IT交流得知,在SQL Server 2016及以后,ODBC驱动需要由SQL Server...
sql2000中连接本地服务器的SSL安全错误解决
weixin_33725722的博客
07-28 517
控制面板--管理工具--服务--MS SQLSERVER 双击,选择登录选项卡,选中:本地账户! 然后重新启动此服务,打开企业管理器,OK!
从gRPC安全设计理解双向证书方案
weixin_47208161的博客
11-02 1571
序言安全需求安全方案敏感数据加密传输认证鉴权数据完整性和一致性证书的基本原理单向证书双向证书gRPC安全机制SSL/TLS认证GoogleOAuth2.0自定义安全认证策略序言网络安全领...
sql server ssl安全错误_渗透测试 丨 SQL注入的攻与防
weixin_39780962的博客
12-06 563
“注入攻击漏洞,例如SQL,OS以及LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者在未被恰当授权时访问数据。”SQL注入流程我是否存在注入漏洞?检测应用程序是否存在注入漏洞的最好办法就是确认所有解释器的使用都明确地将不可信数据从命令语句或查询语句中区分出来。如果可能的话,在许多情况下...
nginx双向认证配置proxy_ssl_verify_depth详解
01-08
当待验证的客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件 也就是说,直接尝试使用中级 CA 来验证客户端是无法通过...
nginx、tomcat安装免费ssl安全证书配置
10-25
本篇文章将详细介绍如何在Nginx和Tomcat上安装阿里云提供的免费SSL安全证书,以实现网站的HTTPS访问。 首先,我们需要了解SSL证书的基本概念。SSL证书由权威的证书颁发机构(CA)签发,它包含了网站的公钥、组织...
Nginx配置SSL自签名证书的方法
09-30
本文将详细介绍如何在Nginx服务器上配置SSL自签名证书。 首先,我们需要生成自签名SSL证书。这通常包括以下步骤: 1. **生成RSA密钥**:使用`openssl genrsa`命令创建一个带有密码保护的RSA私钥。例如,`openssl ...
Linux下Nginx安全证书ssl配置方法
09-30
在Linux环境下配置Nginx服务器的安全证书SSL)是一个保护网站信息安全的重要步骤。SSL(Secure Sockets Layer,安全套接层)是一种安全协议,它通过在客户端和服务器之间建立加密链接来保证数据传输的安全。此过程...
Nginx配置SSL证书的方法
01-10
1、Nginx 配置 ssl 模块 默认 Nginx 是没有 ssl 模块的,而我的 VPS 默认装的是 Nginx 0.7.63 ,顺带把 Nginx 升级到 0.7.64 并且 配置 ssl 模块方法如下: 下载 Nginx 0.7.64 版本,解压 进入解压目录: 代码如下: ...
解决SQLSERVER数据库驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接问题JAR包
06-23
用于解决SQLSERVER连接问题驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接问题JAR包。
sql ssl安全错误_一次Mysql主从复制出现1236错误解决全过程
weixin_29867767的博客
01-25 351
故障描述自己搭建了一套mysql5.7.26的主从复制环境,有2个多月没怎么管它,今天上去想要做一个因为主键冲突,导致失败的测试,发现mysql主从复制已经断开了,上去一看报了1236错误,详细错误信息如下所示:[root@localhost] 16:54:01 [testdb1]>show slave statusG;*************************** 1. row *...
idea连接sqlserver出现[08S01] 驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接。错误
最新发布
优雅的小鸭子
02-02 2678
在使用 JDBC 连接 SQL Server 数据库时,trustServerCertificate 是一个连接参数,用于指示客户端是否信任服务器端的证书。当 trustServerCertificate 参数设置为 true 时,客户端将信任服务器端的证书,即使证书没有经过有效的 CA(证书颁发机构)签名也会被接受。这通常用于开发和测试环境中,以简化配置和避免证书验证带来的麻烦。生产环境还是得设置为false的。1. 修改Advanced页签的trustServerCertificate。
ingress添加ssl证书
huangruifeng的博客
03-03 3600
1、下载证书 到阿里云申请免费ssl证书,审核通过后下载other版本的证书 2、创建tls secret 输入下面命令创建 kubectl create secret tls hrf304.com-ingress-secret --cert=hrf304.com.pem --key=hrf304.com.key 3、获取tls的yaml文件 输入以下命令获取文件 kubectl get secr...
网络安全工程师的职业前景如何?
yy1715713348的博客
01-25 384
相信这个问题应该是所有宝宝们最想了解的问题了吧“网络安全的前景如何?给各位宝宝们依次分点解答宝宝们先来看看各地给的“渗透测试工程师”的薪资情况(51job截图)可以看到,基本上在1-3年的工作经验的工程师,薪资在1.5w-2.5w左右,刚毕业无经验的在8-15k。且积累一定工作年限后,工资会有一个3-5倍的涨幅。有的宝宝们可能要问了,那这个行业会不会像程序猿一样,到35岁就要面临被替换,被迫转行的风险&#x。
ingress-nginx设置https证书
Happywzy~的博客
11-19 3157
创建自签署证书 注意证书中的CN=tls.echo.example改成自己的域名地址。 echo "生成自签署的 ca 证书" openssl req -x509 -sha256 -newkey rsa:4096 -keyout ca.key -out ca.crt -days 3560 -nodes -subj '/CN=My Cert Authority' echo "生成用上述 c...
kubernetes ingress配置阿里ssl证书
qq_33842795的博客
04-12 2018
这里写目录标题申请证书下载证书创建Secret创建yaml配置文件 申请证书 登录阿里云,找到【SSL证书】,点击申请证书 如果没有创建证书资源包,需要建立证书资源包才能申请免费证书。 页面是这样的,待申请会显示20个,因为我已经建立一个了。 在点击【证书申请】 点击【确认】即可。 然后需要绑定域名。例如绑定【xxx.com】。 通常需要审核时间,大概几分钟就通过了,然后就可以下载了。 下载证书 选择Nginx证书下载。 会得到一个压缩包,包含两个文件。【xxx_xxx.key】和【xxx_xxx
sql server2000中的SSL安全错误的解决办法
茫茫大海的的专栏
09-14 9140
<br />前几次都用的好好的,今天打开sql server 2000企业管理器和查询分析器,都连不上服务器,一直提示:SSL安全错误 connectionopen(secdoclienthandshake())。上网找了找,下面就是具体的解决办法: 控制面板--管理工具--服务--MS SQLSERVER 双击,选择登录选项卡,选中:本地账户! 然后重新启动此服务,打开企业管理器,OK!
sql server ssl安全错误_配置 SSL 认证的一些 Ken
weixin_39605414的博客
12-06 2304
SSL:记录一些 Ken1 Nginx 配置 SSL 报错 nginx: [emerg] unknown directive "ssl"需要进到下载好的 Nginx 目录中执行编译安装 ssl 模块: $ ./configure --with-http_ssl_module如果报错说明没有对应的依赖坏境, 执行:$ yum -y install openssl openssl-devel $...
Nginx Ingress Controller 日志持久化与管理策略
1. **挂载hostpath卷**:将宿主机的目录如`/data/log/nginx_ingress_controller/`挂载到容器的`/var/log/nginx_ingress_controller/`,以便存储日志文件。因为Nginx-Ingress Controller以33用户身份运行,可能需要在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值