文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >通过CF/Gorouter握手错误实现HTTPS上的CUPS/IPP

通过CF/Gorouter握手错误实现HTTPS上的CUPS/IPP
EN

Stack Overflow用户
提问于 2018-05-11 09:52:11
回答 1查看 296关注 0票数 0

我想通过CUPS/HTTPS在云铸造上打印PostScripts。当我使用HTTP时,它是可以工作的,但是对于带有gorouter日志的HTTPS,它却失败了:

代码语言:javascript
复制
http: TLS handshake error from ...

我的cipher_suites

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384:TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA:TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA:TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256:TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384:TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA:TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

我试图将router.logging_level设置为debug (默认设置info),但它没有改变什么.

有机会获得更多的信息吗?戈鲁特最详细的日志级别是什么?

gorouter
cloud-foundry
tls1.2
sslhandshakeexception
cups
EN

回答 1

Stack Overflow用户

回答已采纳

发布于 2018-05-31 09:55:29

我解决了我的问题。在我的例子中,在gourouter上启用了相互TLS:

默认情况下,Gorouter请求但不需要TLS握手中的客户端证书。

身份验证

检查是否启用了mTLS

1.寡妇SCHANNEL事件记录

添加一个注册表项:

代码语言:javascript
复制
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
EventLogging REG_DWORD = 3

https://blogs.technet.microsoft.com/kevinjustin/2017/11/08/schannel-event-logging/

现在,您应该找到服务器请求客户端证书但却找不到的事件日志。

2. curl

看一下粗体的线条:

代码语言:javascript
复制
curl -I -v -H "Connection: close" https://your-app.cloud

  • 即将将()连接到-app.Cloud端口443 (#0)
  • 连接到您的-app.Cloud端口443 (#0)
  • 使用certpath初始化NSS : sql:/etc/pki/nssdb
  • CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath:无
  • NSS:未找到客户端证书(昵称未指定)
  • 使用TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384的SSL连接

3. openssl

看一下粗体的线条:

代码语言:javascript
复制
openssl s_client -connect your-app.cloud:443 -state

  • 连接(00000003)
  • SSL_connect:初始化前/连接
  • SSL_connect:SSL 2/v3写客户端hello A
  • SSL_connect:SSLv3读取服务器hello A
  • ..。
  • 核实申报表:1
  • SSL_connect:SSLv3读取服务器证书A
  • SSL_connect:SSLv3读取服务器密钥交换A
  • SSL_connect:SSLv3读取服务器证书请求A
  • SSL_connect:SSLv3读取服务器完成A
  • SSL_connect:SSLv3编写客户端证书A
  • SSL_connect:SSLv3写客户端密钥交换A
  • SSL_connect:SSLv3写变密码规范A
  • SSL_connect:SSLv3写完成A
  • SSL_connect:SSLv3冲洗数据
  • SSL_connect:SSLv3读取服务器会话票A
  • SSL_connect:SSLv3读完A

禁用Gorouter

使用CF部署清单更改Gorouter属性:

代码语言:javascript
复制
- name: router
  - name: gorouter
    release: routing
    properties:
      router:
        forwarded_client_cert: always_forward
        client_cert_validation: none

现在您可以检查是否再次启用了mTLS。

请注意,这些设置并不适用于路由版本0.164.0,但对于0.178.0,它的工作方式与预期的一样。

票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/50289640

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档