Tham gia Đăng nhập
Điểm:0
GJE avatar Server

DHCP Kea High Availability qua TLS không hoạt động

lá cờ km
GJE

Tôi đã cài đặt 2 Máy chủ Kea 2.0.1 trong máy ảo Debian 10 Buster trong Virtual Box 6.1.26 r145957 (Qt5.6.2) và cả trong VMware Workstation Player 16.1.2 build-17966106. Tính khả dụng cao không có TLS hoạt động tốt và tôi có đã được giới thiệu đến hướng dẫn tham khảo quản trị viên kea cho các cấu hình kea-dhcp4 và kea-ca(controlagent) (https://kea.readthedocs.io/en/kea-2.0.1/arm/intro.html).

Nhật ký HA không có TLS

Khi tôi cố định cấu hình nó bằng TLS, nó báo lỗi bắt tay TLS sau.

2022-02-07 10:38:22.970 GỠ LỖI [kea-ctrl-agent.http/4703.140102598186880] HTTP_CONNECTION_HANDSHAKE_START bắt đầu bắt tay TLS với 192.168.0.20 với thời gian chờ 10 2022-02-07 10:38:23.972 INFO [kegenta-agentrl .http/4703.140102598186880] HTTP_CONNECTION_HANDSHAKE_FAILED Quá trình bắt tay TLS với 192.168.0.20 không thành công với yêu cầu http 2022-02-07 10:38:23.972 GỠ LỖI [kea-ctrl-agent.http/4703.1401025981868ECTION 10:38:23.972 Đang dừng kết nối HTTP_192.08.

Để định cấu hình kết nối tls, tôi đã tạo cơ quan cấp chứng chỉ có chứng chỉ tự ký và Máy chủ DNS bind9.Về việc tạo chứng chỉ TLS với các tên thay thế chủ đề được đặt thành tên dns và địa chỉ IP, tôi đã được đề cập đến /kea-2.0.1/src/lib/asiolink/testutils/ca/doc.txt.

  (Tạo chứng chỉ CA tự ký)
$sudo openssl genrsa -aes128 -out kea-ca.key 4096
$sudo openssl req -new -x509 -days 3650 -key kea-ca.key -out kea-ca.crt -extensions v3_ca -config server-conf.cnf


  (Chứng chỉ máy chủ Kea)
$sudo openssl genrsa -aes128 -out kea-server-aes.key 2048
$sudo openssl pkcs8 -in kea-server-aes.key -out kea-server.key -nocrypt
$sudo rm kea-server-aes.key (khóa riêng của máy chủ phải không được mã hóa)
$sudo openssl req -new -key kea-server.key -out kea-server-addr.csr -config server-addr-conf.cnf
$sudo openssl x509 -req -days 3650 -in kea-server-addr.csr -CA kea-ca.crt -CAkey kea-ca.key -set_serial 30 -out kea-server-addr.crt -extfile ext-addr- conf.cnf -sha256

 (Sử dụng c_rehash hoặc openssl rehash để tạo băm)

$sudo openssl thử lại .

Để khắc phục sự cố tôi đã thử như sau:

  1. Chụp các gói dữ liệu bằng Wireshark (nhập mô tả hình ảnh tại đây)- Sau khi gửi tin nhắn nhịp tim để đồng bộ hóa với ngang hàng khác, đã xảy ra sự cố và kết nối tcp kết thúc ngay lập tức. bắt cá mập
  2. gửi một Xoăn POST to kea control agent hoạt động thành công. phản hồi http
  3. Kiểm tra chứng chỉ kea với xác minh openssl công cụ như được mô tả trong openssl verify- mọi thứ Dường như ok. xác minh openssl
  4. Khắc phục sự cố với kết nối tls với openssl s_client -showcerts.

Vì đầu ra lỗi không giúp được gì nhiều nên tôi muốn hỏi xem có ai có bất kỳ kinh nghiệm nào về vấn đề này hoặc các vấn đề có thể so sánh được không.

42
0 + 0
GJE avatar
lá cờ km
GJE
Cuối cùng tôi đã tìm ra giải pháp. Trong kea dhcp4 ha configs trust-anchor, cert-file, key-file phải được định nghĩa ở dạng global hoặc peer leven và url phải ở dạng https.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.