問題タブ [sni]

以下のサービスを定義しました。

ターミナル ウィンドウからコマンドを実行すると、すべて正常に動作します。上記のように実行すると、接続拒否エラーが発生します。

このサーバーには複数の Web サイトがあります。すべてのサイトが nagios サーバーから適切に解決されます。

requestsを使用して、SSL 経由でリモート サーバーにアクセスしようとしています。残念ながら、SNI ハンドシェーク中にエラーで応答するように構成が誤っておりTLSV1_UNRECOGNIZED_NAME、ブラウザーでは無視されますが、.NET では例外が発生しrequestsます。

これはこの質問と同じ問題のようですが、Java ではなく Python で: SSL ハンドシェイク アラート: Java 1.7.0 にアップグレードしてからの unrecognized_name エラー`

この接続は、SNI をサポートしていない Python 2 で完全に機能します。接続が機能するように、Python 3 で SNI を無効にするにはどうすればよいですか?

私はプロジェクトの統合テスト コードを書いており、サーバーに新しい安全な仮想ホストを設定しています。サーバーは SNI をサポートします。ただし、テスト コードは開発環境で実行するためのものであるため、ホスト名の DNS レコードが正しく設定されていません。したがって、正しい証明書が返されたかどうかを確認するには、curl でこれを行う必要があります

またはopensslユーティリティ経由

次のように、ルビーでユースケースを再現するための参照を見つけることができました

最初は純粋に net/http でこれを実装したかったのですが、example.com の DNS を適切に設定しない限り (DNS 設定にアクセスできないため、ホスト ファイルを編集してごまかしました)、実装されませんでした。どのように試しても機能します。私はRubyに比較的慣れていないことを考えると、net/httpだけでそれを行う方法があるのだろうか?

GAE でアプリを起動して実行し、SNI スロットを購入し、SSL 証明書をインストールしました。SSL 証明書は、デスクトップ chrome、safari、firefox、およびすべての iOS デバイスで正常に動作しています。

何らかの理由で、Android は「この証明書は信頼できる機関からのものではありません」というエラーを返しますが、COMODO とその詳細を CA としてリストしていますか?

Google SSL設定では、提供するSNI証明書オプションしかありません（チュートリアルで、購入できるSNI + VIPを参照してください）。Android が SNI をサポートしていないかどうか疑問に思っています。Android で SSL を機能させるには、SNI + VIP を購入する必要がありますか?

それが GAE でホストされているのは皮肉なことですが、問題のあるプラットフォームは Android だけです ;)

私のサーバーには、SNI (nginx) 経由で TLS をフルタイムで使用する RSS リーダー Web アプリケーションがインストールされています。フィードを自動的に更新するように cron で curl コマンドをセットアップしようとしていますが、問題が発生しています。

RSS リーダーが cron ジョブに提供するコマンドを実行します。curl -L -s --user-agent 'Fever Refresh Cron' -k 'https://fever.cconover.com/?refresh'

RSS リーダーからの適切な応答ではなく、nginx サーバーでデフォルト ホストの HTML を取得します。

実行curl -I https://fever.cconover.com?refreshすると、次の結果が得られます。

curl: (51) SSL: no alternative certificate subject name matches target host name 'fever.cconover.com'

これは、RSS リーダーがホストされているサーバーでこれらのコマンドを実行した場合にのみ発生します。他のマシンから実行すると、正しく動作します。

サーバーがそのアドレスに対して持っている IP が正しくないかどうかを確認しましたが、実行ping fever.cconover.comするとサーバーのパブリック IP が提供されます。

私は最近、これと同じように構成されたサーバーからこのサーバーに移行しましたが、古いサーバーでは問題なく動作しました。残念ながら、古いサーバーにはもうアクセスできないため、2 つを比較することはできません。ただし、これらの正確なコマンドは以前は正常に機能していたことを知っています。

どうすればこれを修正できますか?

必要なもの: HTTPS 接続を介して JSON の結果を取得する

私が持っているもの: 有効な SSL 証明書を持つ共有サーバー

私が望むこと: HTTPS 接続を確立できるようにすること。これは、見つけたオンラインの例でコードを変更すると、うまくいかないためです...

詳細：

私は何日も解決策を探してきましたが、さまざまなことを見つけて、コードでさまざまな組み合わせをすでに試しましたが、何も機能しませんでした。:(

私は PHP、MySQL、CSS、HTML での開発に慣れていましたが、Android (Java) を使い始めたのはつい最近のことで、何も開発したことがありませんでした (「Hello world!」でさえも)。

シンプルな APP が欲しかったので、フリーランサーを雇いました (実際、優秀なインド人です... 私はこれで幸運だと思います)。

そこで、最近、共有サーバー上にある自分の Web サイト用の SSL/TLS 証明書を購入しました。APP のコードを変更して、HTTPS 経由で接続できるようにし、開発した Web サービスに安全に接続できるようにしたいと考えています。 PHPで。

すべてが HTTP 要求で完全に機能していますが、オンラインで見つけた別の HTTPS の推奨事項を試してみると、何も機能しませんでした。:(

これについては結論を出すことができませんでした。笑

これは、約 30 の異なる画面の 1 つのコードです。

編集：

いくつかの変更を試みた後のエラーは次のとおりです。

私が管理している別の開発者によって .NET 3.5 で記述された Web サービス (asmx) API があります。最近 Server 2008R2 から Server 2012R2 に移行したので、証明書ごとに IP を使用する代わりに SNI を使用することにしました。

SNI に切り替えた後、API ユーザーの 1 人が API に接続できなくなったことが判明しました。私は、彼らが Server 2003 を使用していることを知り、それが機能しなくなった理由であると考えました。私は先に進み、問題を修正したパブリックIPをサイトに割り当てました. もちろん、彼らは完全に .NET フレームワークのせいにしています。

彼らの証拠はこのリンクでした: https://connect.microsoft.com/VisualStudio/feedback/details/729925/net-4-4-5-sslstream-no-supports-the-tls-server-name-indication-sni

API に接続してさまざまなテストを実行するテスト プロジェクトのセットアップがあり、変換後に正常に動作します。

誰でもこれに光を当てることができますか？SoapHttpClientProtocol は sslstream を使用しますか?

ストリーム ソケットの ConnectAsync で Server Name Indication (SNI) を設定することは可能ですか?

サブドメインを使用して複数のサイトにサービスを提供するように nginx を設定しています。次のようにsslを使用するように最初のものを設定しました：

これは、 https://subdomain1.domain.tldに接続するたびにうまく機能します。ただし、別のサブドメインにsslを使用するための類似の仕様を定義すると、nginxは適切な証明書を提供するのではなく、常にsubdomain1.domain.crtをユーザーに提供します...

Server Name Indication (SNI) が nginx で有効になっており、証明書のパスを再確認しました..何が問題なのですか?

参考までに、[1] で説明されているチュートリアルを確認したところ、実際に私の設定に従っています。

[1] https://www.digitalocean.com/community/tutorials/how-to-set-up-multiple-ssl-certificates-on-one-ip-with-nginx-on-ubuntu-12-04

完全な nginx 構成ファイルは次のとおりです。

もう1つは実際にgitlabを提供しています：

さらに、私のnginx.confはかなり標準的です：

Powershell TLS クライアントが SNI を使用しないように強制する方法、またはサーバーからの SNI エラーを超えて接続を続行する方法を見つけた人はいますか?

PowerShell スクリプトで DHCP サーバーからネットワークの大きなリストをダウンロードし、別のシステムにインポートできるようにフォーマットしようとしています。

ブラウザでデータをダウンロードできます - Wireshark との接続を監視し、ブラウザが TLS ハンドシェイクを開始し、SNI 指示を送信し、サーバーが「TLS アラート (レベル: 警告、説明: 認識できない名前)」で応答するのを確認します。ブラウザは TLS 接続をそのまま続行し、ダウンロードは成功します。

リクエストをデバッグするために、ローカル プロキシ (Java アプリである burp スイート) を介して接続を実行したので、暗号化されたトンネルと HTTP リクエストのコンテンツの両方を確認できました。これにより、接続が失敗し、プロキシがすぐにエラーを返しました。どうやら Java TLS コードは、ブラウザーが勝手に受け入れる TLS エラーを超えて接続を継続することを望まないようです。リクエストに Server Name Identification (SNI) を含めないようにプロキシを強制すると、機能します (以下のコメントアウトされたデバッグ コードを参照してください)。

最後に、プロキシをミックスから削除すると、Powershell が使用するネットワーク コードもエラーを超えて続行することを望まないようです - 同じ SNI インジケータを送信し、同じ TLS エラーを受信し、その後ハングします - 100 までパケットは交換されません秒が経過すると、接続は FIN パケットで閉じられ、Powershells はタイムアウト エラーを返します。

Exception calling "DownloadFile" with "2" argument(s): "The operation has timed out"

私が使用しているコードは次のとおりです。

どうもありがとう！