搞定客户端证书错误 看这篇就够了

作者:宝博体育官网登录发布时间:2022-09-11 04:42

本文摘要:简介: TLS/SSL 握手失败引起的毗连异常问题怎么搞?阿里云 SRE 工程师手把手带你排查解决。 2.案例分享 2.2.3小结 正常情况下服务器返回的证书包罗了完整的 CA 证书链; 2.2证书链信任模式引起的问题 从上面的网络包可以看到服务端(机房 P 中的服务器提供接入服务)在收到 Client Hello 后直接返回了 Handshake Failure这种情况下一般需要服务端配合排查握手失败的直接原因。 在客户端条件下可以进一步缩小排查疑点。

宝博体育官网登录

简介:TLS/SSL 握手失败引起的毗连异常问题怎么搞?阿里云 SRE 工程师手把手带你排查解决。

2.案例分享

2.2.3小结

正常情况下服务器返回的证书包罗了完整的 CA 证书链;

2.2证书链信任模式引起的问题

从上面的网络包可以看到服务端(机房 P 中的服务器提供接入服务)在收到 Client Hello 后直接返回了 Handshake Failure这种情况下一般需要服务端配合排查握手失败的直接原因。

在客户端条件下可以进一步缩小排查疑点。

抓取网络包;有条件的情况下可以针对正常和异常情况抓取两份网络包以便后续举行对比分析。

*参考:https://www.cfca.com.cn/upload/20161101.pdf

起初工程师并不知道客户的证书是由哪个机构签发以及有什么问题。

而对于这类问题一般均需要客户端网络包做进一步的分析与判断。因此摆设客户在受影响的设备上举行问题复现及客户端抓包操作。

回到存在问题的手机设备上(Android 5.1)检查系统内置的受信任 CA 根证书列表未能找到 CFCA EV ROOT CA 证书;而在正常毗连的手机上可以找到该 CA 的根证书并默认设置为”信任“。

宝博体育官网登录

重新思量客户问题条件:相同的网络条件下系统浏览器可以打开该页面;同一设备切换到另一运营商下(站点此时由机房 Q 中的服务器提供接入服务)可以正常会见。针对这这两种正常情况举行抓包和进一步分析。

凭据分析结论并联合业务场景选择合适的解决方案。

2.3.1配景

异常情况下服务端返回的证书仅包罗叶节点 CA 证书。

*参考:https://tools.ietf.org/html/rfc3280#section-4.2.2.1 ;https://developer.android.com/training/articles/security-ssl#UnknownCa

从上述案例的分享和实践中可以看到TLS 层面的问题在客户端的症状体现上有相似之处可是问题的根因却截然不同。这里例举的问题虽不能笼罩所有的问题场景但可以看到基本的排查思路如下:

作者:东雷

通过对三种情况的网络视察发现:

更换其他 CA 机构签发的证书保证其 CA 根证书的在特定设备上已默认信任。

手动在受影响的设备上安装该 CA 根证书及中间证书并设置为信任状态。客户端 App 预置该 CA 根证书并通过客户端代码设置信任该证书。

需要联合差别的业务场景选择合明白决方案。

宝博体育官网登录

DigiCert Global Root CA 作为一个广泛支持的证书签发机构其根 CA 证书在绝大多数的设备上均为受信任状态这一点在受影响的设备上也获得了确认。既然根 CA 的证书处于信任状态为何证书验证还是失败?这成为下一步排查的重点偏向。

代码层面手动定制 TrustManager 去定制校验历程;

检察 Encrypted Alert 内容错误信息为 0x02 0x2E。

凭据 TLS 1.2 协议(RFC52。


本文关键词:宝博app官网,搞定,客户端,证书,错误,看,这篇,就,够了,简介

本文来源:宝博app官网-www.xtfp2017.com