Điểm:0

Server

Khắc phục sự cố LDAPS/TLS/HAproxy, chứng chỉ SSL sai đang được sử dụng

Skeer

12:43, 17/12/2022

Được rồi, tôi có hai máy chủ.. một máy chủ cũ (Ubuntu 16) và một máy chủ mới (Ubuntu 20).

Cả hai đều có Haproxy và trong cấu hình, chúng được liên kết với cùng một cổng và cùng chứng chỉ .PEM. Khi tôi kiểm tra chứng chỉ SSL bằng s_client của OpenSSL từ máy chủ Windows.. Tôi thấy chứng chỉ dự kiến khi kiểm tra máy chủ cũ.. nhưng máy chủ mới vì lý do nào đó đang gửi chứng chỉ của máy chủ phụ trợ là chứng chỉ nội bộ.

Vì vậy, để giúp vẽ bức tranh, máy chủ cũ sẽ gửi ldaps.domain.comthông tin chứng chỉ của. Nhưng máy chủ mới đang gửi internalDC.domain.comgiấy chứng nhận của.

Cả hai máy chủ Haproxy đều cho phép TCP/636 từ DMZ sang LAN, cả hai đều đang sử dụng cùng một máy chủ Phụ trợ nên tôi hoàn toàn bối rối.

Bất kỳ lời khuyên sẽ được siêu đánh giá cao!

140

0 + 6

Ginnungagap

13:18, 17/12/2022

Bạn có đang sử dụng `-servername` khi thử nghiệm với `s_client` không? Chứng chỉ có phụ thuộc vào SNI trong HAProxy không?

Hồi đáp

Skeer

13:21, 17/12/2022

Phải, chuỗi cmd tôi đã sử dụng là: `openssl s_client -connect ldaps.domain.com:636` cho cả hai lần kiểm tra.. chuyển đổi IP của máy chủ trong tệp Máy chủ. AFAIK Haproxy đang theo dõi miền vì đó là tất cả những gì được đề cập trong cấu hình của nó.

Hồi đáp

Ginnungagap

13:22, 17/12/2022

Bạn hiện không sử dụng `-servername`, tên được chỉ định bởi OpenSSL khi thực hiện bắt tay TLS, vì đúng như vậy, bạn đang kết nối với IP ldaps.domain.com được phân giải thành không có SNI.

Hồi đáp

Skeer

13:33, 17/12/2022

Tôi nhầm rồi.. SNI cái này có đúng không?: https://stuff-things.net/2016/11/30/haproxy-sni/. Nếu vậy thì không .. Tôi không sử dụng nó. cấu hình của tôi đơn giản hơn: máy khách LDAPS -> haproxy -> phụ trợ DC/LDAPS vì vậy ldaps.domain.com cho giao diện người dùng thì phần phụ trợ là một cặp bộ điều khiển miền.. cả giao diện người dùng và phụ trợ đều được đặt cho cổng 636.

Hồi đáp

Ginnungagap

13:42, 17/12/2022

Hiển thị cấu hình HAProxy của bạn, nếu đó không phải là SNI thì đó là kết thúc TLS được định cấu hình không đúng cách.

Hồi đáp

Skeer

14:17, 17/12/2022

Đây là tệp conf đã được khử trùng: https://paste.centos.org/view/52a6000b Vì vậy, vấn đề của tôi là khi kết nối với ldaps.domain1.com bằng máy chủ mới này, thay vào đó, tôi nhận được chứng chỉ SSL cho domain1-dc01.

Hồi đáp

Skeer

04:03, 07/04/2023

Đã lâu rồi và câu trả lời cho câu hỏi này đã dừng lại vì một số lý do. Nhưng cuối cùng thì bạn đã đúng @Ginnungagap Vào thời điểm đó, tôi không biết rằng s_client không chuyển tiếp hoặc lấy tên miền ở giá trị -connect và sử dụng nó cho SNI. Phải chỉ định -servername đã hoạt động và dẫn tôi xuống đường để giải quyết (các) vấn đề. Vì vậy, nếu bạn sẽ thêm một câu trả lời, tôi sẽ chấp nhận nó. Cảm ơn

Hồi đáp

Ginnungagap

10:00, 07/04/2023

Bạn đang ở một vị trí tốt hơn để thực sự trả lời câu hỏi vì bạn có các chi tiết liên quan. Tự trả lời không phải là điều xấu và bạn nên thoải mái ghi lại những gì bạn đã làm, những dấu hiệu bạn đã sử dụng và cách bạn giải quyết vấn đề của mình vì nó có nhiều khả năng giúp được ai đó có cùng câu hỏi hơn là những gì tôi có thể viết. câu trả lời định hướng TLS chung hơn mà ServerFault đã có nhiều câu trả lời.

Hồi đáp

Skeer

03:27, 08/04/2023

Tôi đoán tôi đã đăng khá nhiều ở đây và Stackoverflow nói chung chỉ để tự trả lời sau. Tôi luôn cho rằng điều đó đã được tán thành khi nó có thể tránh được. Thông thường, tôi sẽ đăng vấn đề của mình sau đó sau khi đánh bại nó trong một giờ để tìm giải pháp trước khi bất kỳ ai nhận xét. Nhưng tôi đoán rằng đôi khi nó kết thúc như thế nào. Cảm ơn vì đã quay lại @Ginnungagap

Hồi đáp

Điểm:0

Server

Skeer

03:31, 08/04/2023

Cuối cùng, cách khắc phục vấn đề này thực sự là sử dụng công tắc '-servername' trong s_client. Tôi không biết rằng nó không xử lý SNI theo mặc định. @Ginnungagap chắc chắn đã hướng tôi theo hướng đó.

Nó cũng khiến tôi phát hiện ra rằng cấu hình SNI của tôi trong haproxy.cfg không hoàn toàn đúng. Ban đầu tôi có một dòng như:

use_backend nếu { ssl_fc_sni_reg domain.com }

Và tôi là thằng ngốc đã không nhận ra 'reg' là viết tắt của regex. Sau khi tôi đổi thành 'kết thúc' vì tôi đang cố khớp với chính tên domina.. mọi việc đã ổn thỏa.

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Troubleshooting LDAPS/TLS/HAproxy, wrong SSL cert being used

TH: การแก้ไขปัญหา LDAPS/TLS/HAproxy ใช้ใบรับรอง SSL ไม่ถูกต้อง

RO: Depanare LDAPS/TLS/HAproxy, se utilizează certificat SSL greșit

RU: Устранение неполадок LDAPS/TLS/HAproxy, использование неправильного сертификата SSL

VI: Khắc phục sự cố LDAPS/TLS/HAproxy, chứng chỉ SSL sai đang được sử dụng

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.