docker - .netcore 应用程序的 Docker Redis TLS 身份验证失败
问题描述
我正在尝试将 redis 与 tls 与 netcore 应用程序一起使用,但出现身份验证错误
设置:
码头工人:
我使用 redis:6.2.0 创建了一个 redis docker 容器
码头工人-compose.yaml:
.
.
redis:
image: redis:6.2.0
command: redis-server /usr/local/etc/redis/redis.conf --appendonly yes
container_name: "cxm-redis"
ports:
- "6379:6379"
volumes:
- cxm-redis-data:/data
- C:/SaaS/certs/redis.conf:/usr/local/etc/redis/redis.conf
- C:/SaaS/certs/tests/tls/redis.crt:/usr/local/etc/redis/redis.crt
- C:/SaaS/certs/tests/tls/redis.key:/usr/local/etc/redis/redis.key
- C:/SaaS/certs/tests/tls/ca.crt:/usr/local/etc/redis/ca.crt
到目前为止,一切看起来都不错,(据我所知)我设法使用以下命令进行了身份验证,
redis-cli --tls --cert ../usr/local/etc/redis/redis.crt --key /usr/local/etc/redis/redis.key --cacert /usr/local/etc/redis/ca.crt
并且可以成功地 ping 和请求密钥。
我使用 openssl 创建了证书,对于 redis.conf 我使用的是redis 中的 redis.conf 示例
重要的位:
### TLS
tls-port 6379
tls-cert-file /usr/local/etc/redis/redis.crt
tls-key-file /usr/local/etc/redis/redis.key
tls-ca-cert-file /usr/local/etc/redis/ca.crt
网核:
对于我的 .netcore 应用程序,我使用的是 StackExchange 库,对于 TLS 连接,我按照此处的说明进行操作,如下所示
var options = new ConfigurationOptions
{
EndPoints = { "redis-test:6379" },
Password = "not-the-actual-password",
Ssl = true
};
options.CertificateSelection += delegate {
return new X509Certificate2("./redis_certificate.p12");
};
_db = ConnectionMultiplexer.Connect(options).GetDatabase();
redis_certificate.p12 是使用 openssl 和这个命令行生成的
openssl pkcs12 -export -out sample_certificate.p12 -inkey redis.key -in redis.crt
问题:
当我从我的应用程序向 redis 发出请求时,我收到以下错误:
无法连接到 redis 服务器。身份验证失败;检查密码(或客户端证书)是否配置正确。AuthenticationFailure on redis-test:6379/Interactive, Initializing/NotStarted 在我的应用程序日志中,我在我的 redis 日志中得到以下信息:
- 接受客户端连接时出错:错误:1408F10B:SSL 例程:ssl3_get_record:错误的版本号
- 接受客户端连接时出错:错误:14094418:SSL 例程:ssl3_read_bytes:tlsv1 alert unknown ca,
- 接受客户端连接时出错:(null)
我看不到的设置中是否有任何明显的错误?这是我第一次尝试这个,也许我假设太多或走错路了..
试图解决这个问题我发现了几个类似问题的问题,但实施他们的修复并没有解决我的问题..
我尝试过的一些事情
- 从我的 .netcore 应用程序发送不同的 ssl 协议
- 以不同方式发送 pfx/p12 证书
- 几种不同的redis配置
编辑:我可以根据需要提供尽可能多的代码!
解决方案
对于面临相同问题的任何人,似乎服务器正在使用非路由 CA 来获取服务器证书,我找到的解决方案是使用 StackExchange.Redis 库的 CertificateValidation 回调和以下代码
private static bool CheckServerCertificate(object sender, X509Certificate certificate,
X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
if ((sslPolicyErrors & SslPolicyErrors.RemoteCertificateChainErrors) == SslPolicyErrors.RemoteCertificateChainErrors)
{
// check that the untrusted ca is in the chain
var ca = new X509Certificate2(_redisSettings.CertificatePath);
var caFound = chain.ChainElements
.Cast<X509ChainElement>()
.Any(x => x.Certificate.Thumbprint == ca.Thumbprint);
return caFound;
}
return false;
}
代码的重要部分也是条件
if((sslPolicyErrors & SslPolicyErrors.RemoteCertificateChainErrors) == SslPolicyErrors.RemoteCertificateChainErrors)
推荐阅读
- unity3d - 一旦剩下的项目等于零,如何显示获胜面板?
- ansible - Ansible:循环字典和文件树
- postgresql - pg_restore 抛出警告并返回 exit 1
- c++ - 如何在 64 位 Qt 应用程序中使用 32 位汇编函数?
- python - ValueError: 生成器的输出应该是一个元组 `(x, y, sample_weight)` 或 `(x, y)`
- php - 一个参数登录
- c++ - 错误:如果(object1 == object2)没有匹配'operator =='(操作数类型是'const class'和'const class')
- java - Gradle 同步失败:“java”插件已应用,但与 Android 插件不兼容。(8 秒 991 毫秒)
- c# - .Net Core OAuth 在授权代码重定向时返回 302
- javascript - 如何使用控制器解决 Javascript 中的数据绑定?