国产化之银河麒麟.netcore3.1访问https服务的两个问题
2022-04-18 07:40 萤火架构 阅读(2373) 评论(16) 编辑 收藏 举报背景
某个项目需要实现基础软件全部国产化,其中操作系统指定银河麒麟,数据库使用达梦V8,CPU平台的范围包括x64、龙芯、飞腾、鲲鹏等。
考虑到这些基础产品对.NETCore的支持,最终选择了3.1版本。主要原因就是龙芯搞了自研CPU架构,用户量不够大,.NET官方并没有专门针对龙芯的支持,而龙芯团队只对.netcore3.1做了适配(目前.net6适配测试中),至于其它的国产CPU则是基于Arm64和x64的,.NET官方都有支持。
环境
- 主机操作系统:Windows 10
- 虚拟化工具:QEMU
- 虚拟机CPU:cortex-a53(ARMv8架构,支持Arm64)
- 虚拟机操作系统:银河麒麟 v4 (未安装桌面)
问题
问题一:无法验证xxx的由yyy颁发的证书
这个错误是在开发环境出现的,通过wget请求https服务时抛出异常:
具体错误提示如图所示,使用HttpClient发起请求一样会报错,这是因为安装的操作系统没有自带根CA证书。安装 ca-certificates 就可以解决:
sudo apt-get install -y ca-certificates
至于错误信息中的建议:使用"--no-check-certificate"。使用https就是为了安全,直接无视就好了。
问题二:The SSL connnection could not be established
这个错误是在生产环境出现的,已经排除第一个问题。
错误的关键词还有:AuthenticationException: The remote cert is invalid according to the validation procedure. 简单点说就是:被访问服务的证书无效。
这里先贴出解决方案,一会再说原因。增加一个环境变量:
export DOTNET_SYSTEM_NET_HTTP_USESOCKETSHTTPHANDLER = 0
建议还是把它写到 /etc/profile 中,然后用 source /etc/profile 生效。
下面来分析下这个问题产生的原因:
在微软的官方文档中可以找到关于这个配置的说明:
https://docs.microsoft.com/en-us/dotnet/api/system.net.http.socketshttphandler?view=net-6.0
https://docs.microsoft.com/zh-cn/dotnet/core/runtime-config/networking
大概就是说.NET Core 2.1之后,HttpClient内部默认使用新写的SocketsHttpHandler,但是也允许切换到之前的旧Handler,在Linux上之前使用的是CurlHandler,从这个名字上看应该是使用了libcurl这个库,这个库使用C语言写的,.NET调用的时候会有一点性能损失,所以后来.NET抛弃了libcurl,自己实现了Http网络栈的处理,也就是SocketsHttpHandler。通过设置环境变量,将Http网络栈的处理回退到了CurlHandler。
那么为什么CurlHandler可以,SocketsHttpHandler却不行呢?
在dotnet的github仓库中有一些关于这个错误的issue:
https://github.com/dotnet/runtime/issues/26494
https://github.com/dotnet/runtime/issues/35880
我这里总结核心问题就是SocketsHttpHandler验证证书域名的问题,证书的域名中大小写混合、包含下划线、使用通配符等等会导致异常,有些问题可以通过修复SocketsHttpHandler解决,有些问题是因为依赖了OpenSSL,比如OpenSSL认为域名不应该包含下划线,.NET这边遇到此类的域名就会报错,.NET也不会主动去解决。另外文中还提到旧版本的OpenSSL是没问题的,新版本的OpenSSL才这样,因为开发者认为新版本的做法更规范。.NETCore依赖的OpenSSL版本可以在这里找到:https://docs.microsoft.com/zh-cn/dotnet/core/install/linux-ubuntu#dependenciesDocs
至于我遇到的是哪个问题,因为在本地环境没有遇到这个问题,生产环境是别人去维护的,上线后也不方便去搞,所以暂时无法定位到具体原因。猜想可能有两个原因:生产环境的OpenSSL相关库版本比较新,而开发环境的OpenSSL库版本比较旧;生产环境用到的证书域名不规范,测试环境用到的证书域名规范。
还有为什么使用了CurlHandler就没有问题呢?因为我这里的curl没有依赖openssl,在银河麒麟v4中,curl依赖的是gnutls(SSL support is provided by GnuTLS.),如果已经安装了curl可以使用这个命令看它依赖的包:apt-cache depends curl 我这里显示的是:
curl
依赖: libc6
依赖: libcurl3-gnutls
依赖: zlib1g
如果没有安装curl,可以看看libcurl3-gnutls这个包是否存在:dpkg -s libcurl3-gnutls,如果存在这个包,则会显示它的详细信息。
最后如果你想知道自己遇到了什么错误,可以通过下边的代码来获取:
var httpClientHandler = new HttpClientHandler();
httpClientHandler.ServerCertificateCustomValidationCallback = (message, cert, chain, errors) => {
if (errors == SslPolicyErrors.None)
{
return true;
}
// todo: 在这里输出errors到日志
throw new AuthenticationException($"Ssl certificate validation failed when trying to connect to {message.RequestUri}, Error: {errors}.");
}
var client = new HttpClient(httpClientHandler);
以上就是本文的主要内容了,如有问题,欢迎反馈。
收获更多架构知识,请关注微信公众号 萤火架构。原创内容,转载请注明出处。