请选择 进入手机版 | 继续访问电脑版

迪普科技技术论坛

 找回密码
 立即注册

关注我们 扫描二维码关注迪普官方微信 迪普新浪微博  迪普官网

最新动态 新闻动态  安全研究 最佳实践  加入迪普

DP 自安全园区网解决方案 DP 自安全分支机构解决方案 DP 自安全物联感知网解决方案

查看: 155|回复: 0

【ADX产品】SSL加速模块服务器负载均衡场景遇到证书不可...

[复制链接]

31

主题

39

帖子

1625

积分

版主

Rank: 7Rank: 7Rank: 7

积分
1625
发表于 2019-9-24 16:05:34 | 显示全部楼层 |阅读模式
1. 问题现象
组网及说明:我司ADX旁路部署,提供服务器负载均衡功能,启用了SSL卸载功能。
问题描述:配置好业务后,手机端电信开发的APP上首次打开页面报错(报证书不可信且证书链长度为1),使用手机自带浏览器或使用电脑访问均能在不报错的情况下正常访问。
手机APP上的报错截图:


2. 问题分析和排查
通过报错来看,可以直接怀疑到是由于证书缺失导致。
在客户端发起访问时,在负载上进行抓包发现,手机APP发出的HTTPS请求中报文如下:


从sever hello报文中的certificates字段得知,服务器侧响应的ssl握手报文中中只有一个证书。


使用原先的友商负载均衡承载业务,手机APP发出的HTTPS请求中报文如下:


从报文信息得知,请求报文中有两个证书。一个是CA证书,一个是服务器证书。

3. 解决方案
在SSL证书配置中,按照下图方法配置证书:



在证书内容里面,将服务器证书内容和CA证书内容一起粘结进去
在私钥内容里面,将私钥内容粘结进去

4. 其他
1.为什么PC端和手机自带浏览器没有问题?
因为PC和手机自带的浏览器集成了CA证书,如图所示。



这种情况下,即使ADX设备没有装载根证书,客户端也认为访问的目标是可信的所以不会报错。

2.客户端是如何验证CA证书是可信任的?
一般来说,现在公共网站数据传输都是使用SSL,即通过https协议访问。Https就是http加SSL。在上面SSL握手过程中,客户端是如何验证服务器发送的CA证书呢?我们以12306网站为例进行说明,此时,客户端就是浏览器,如果我们是第一次访问12306网站,使用https://www.12306.cn地址访问,返回如下结果:



提示此网站的安全证书有问题,说明证书不可信,如果我们忽略证书不可信,继续访问网站,打开12306网页,在首页提供一个根证书的下载,见下页面:


下载根证书,安装完毕,再次访问12036网站,就不会提示网站的安全证书有问题了。这是什么机制呢?
打开【工具】菜单(360浏览器为例),然后选择【内容】选项卡,点击【证书】按钮,打开证书窗口,选择【中级证书颁发机构】,会看到已经安装的12306的证书:



只要安装上12306证书,就说明证书是可信的。使用https协议访问时,服务器发送证书向浏览器时,首先查找该证书是否已在信任列表中,然后对证书进行校验,校验成功,那么就证明证书是可信的。另外,证书的认证是安装证书链执行的,证书链的意思是有一个证书机构A,A生成证书B,B也可以生成证书C,比如在证书窗口中有一个360证书,见下图:


360证书的颁发者是certification authority of wosign,在【受信任的根证书颁发机构】中,我们会看到该证书:见下图,

也就是说,certification authority of wosign生成360证书,360可以生成其它的证书。A证书或者certificationauthority of wosign证书在整个证书链上就被称为根证书,证书验证的机制是只要根证书是受信任的,那么它的子证书都是可信的。比如说,我们使用https协议访问了需要360证书的网站,即使我们不安装360证书,那么网站也不会提示证书不安全,因为,生成360证书的根证书certification authority of wosign证书,在受信任的证书列表中。如果一个证书的根证书是不可信的,那么这个证书肯定也是不可信任的。
由以上可知,根证书在证书验证中极其重要,而且,根证书是无条件信任的,只要我们将根证书安装上,就说明我们对根证书是信任的。比如我们安装12306的根证书,是出于我们对国家的信任,对网站的信任,我们才放心安装这个根证书。对于一些不安全的网站的证书,一定要慎重安装。

另外需要知道的是,【受信任的根证书颁发机构】中的证书是windows预先安装的一些证书,都是国际上很有权威的证书机构,他们证书的生成都有很严格的流程,因此他们的证书被认为是安全,就像我们相信银行是安全,所以把钱存入到银行。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|迪普科技

GMT+8, 2019-10-20 19:09 , Processed in 0.163505 second(s), 23 queries .

Powered by Discuz! X3.1

© 2001-2014 Comsenz Inc.

快速回复 返回顶部 返回列表