国产化之银河麒麟.netcore3.1访问https服务的两个问题

[删除(380066935@qq.com或微信通知)]

更好的阅读体验请查看原文:https://www.cnblogs.com/bossma/p/16158101.html

背景

某个项目需要实现基础软件全部国产化,其中操作系统指定银河麒麟,数据库使用达梦V8,CPU平台的范围包括x64、龙芯、飞腾、鲲鹏等。

考虑到这些基础产品对.NETCore的支持,最终选择了3.1版本。主要原因就是龙芯搞了自研CPU架构,用户量不够大,.NET官方并没有专门针对龙芯的支持,而龙芯团队只对.netcore3.1做了适配(目前.net6适配测试中),至于其它的国产CPU则是基于Arm64和x64的,.NET官方都有支持。

环境

  • 主机操作系统:Windows 10
  • 虚拟化工具:QEMU
  • 虚拟机CPU:cortex-a53(ARMv8架构,支持Arm64)
  • 虚拟机操作系统:银河麒麟 v4 (未安装桌面)

问题

问题一:无法验证xxx的由yyy颁发的证书

这个错误是在开发环境出现的,通过wget请求https服务时抛出异常:


具体错误提示如图所示,使用HttpClient发起请求一样会报错,这是因为安装的操作系统没有自带根CA证书。安装 ca-certificates 就可以解决:

sudo apt-get install -y ca-certificates

至于错误信息中的建议:使用"--no-check-certificate"。使用https就是为了安全,直接无视就好了。

问题二:The SSL connnection could not be established

这个错误是在生产环境出现的,已经排除第一个问题。


错误的关键词还有:AuthenticationException: The remote cert is invalid according to the validation procedure. 简单点说就是:被访问服务的证书无效。

这里先贴出解决方案,一会再说原因。增加一个环境变量:

export DOTNET_SYSTEM_NET_HTTP_USESOCKETSHTTPHANDLER = 0

建议还是把它写到 /etc/profile 中,然后用 source /etc/profile 生效。

下面来分析下这个问题产生的原因

在微软的官方文档中可以找到关于这个配置的说明:

https://docs.microsoft.com/en-us/dotnet/api/system.net.http.socketshttphandler?view=net-6.0

https://docs.microsoft.com/zh-cn/dotnet/core/runtime-config/networking

大概就是说.NET Core 2.1之后,HttpClient内部默认使用新写的SocketsHttpHandler,但是也允许切换到之前的旧Handler,在Linux上之前使用的是CurlHandler,从这个名字上看应该是使用了libcurl这个库,这个库使用C语言写的,.NET调用的时候会有一点性能损失,所以后来.NET抛弃了libcurl,自己实现了Http网络栈的处理,也就是SocketsHttpHandler。通过设置环境变量,将Http网络栈的处理回退到了CurlHandler。

那么为什么CurlHandler可以,SocketsHttpHandler却不行呢?

在dotnet的github仓库中有一些关于这个错误的issue:

https://github.com/dotnet/runtime/issues/26494
https://github.com/dotnet/runtime/issues/35880

我这里总结核心问题就是SocketsHttpHandler验证证书域名的问题,证书的域名中大小写混合、包含下划线、使用通配符等等会导致异常,有些问题可以通过修复SocketsHttpHandler解决,有些问题是因为依赖了OpenSSL,比如OpenSSL认为域名不应该包含下划线,.NET这边遇到此类的域名就会报错,.NET也不会主动去解决。另外文中还提到旧版本的OpenSSL是没问题的,新版本的OpenSSL才这样,因为开发者认为新版本的做法更规范。.NETCore依赖的OpenSSL版本可以在这里找到:https://docs.microsoft.com/zh-cn/dotnet/core/install/linux-ubuntu#dependenciesDocs

至于我遇到的是哪个问题,因为在本地环境没有遇到这个问题,生产环境是别人去维护的,上线后也不方便去搞,所以暂时无法定位到具体原因。猜想可能有两个原因:生产环境的OpenSSL相关库版本比较新,而开发环境的OpenSSL库版本比较旧;生产环境用到的证书域名不规范,测试环境用到的证书域名规范。

还有为什么使用了CurlHandler就没有问题呢?因为我这里的curl没有依赖openssl,在银河麒麟v4中,curl依赖的是gnutls(SSL support is provided by GnuTLS.),如果已经安装了curl可以使用这个命令看它依赖的包:apt-cache depends curl 我这里显示的是:

curl
  依赖: libc6
  依赖: libcurl3-gnutls
  依赖: zlib1g

如果没有安装curl,可以看看libcurl3-gnutls这个包是否存在:dpkg -s libcurl3-gnutls,如果存在这个包,则会显示它的详细信息。

最后如果你想知道自己遇到了什么错误,可以通过下边的代码来获取:

var httpClientHandler = new HttpClientHandler();
httpClientHandler.ServerCertificateCustomValidationCallback = (message, cert, chain, errors) => {
    if (errors == SslPolicyErrors.None)
    {
        return true;
    }

    // todo: 在这里输出errors到日志

    throw new AuthenticationException($"Ssl certificate validation failed when trying to connect to {message.RequestUri}, Error: {errors}.");
}

var client = new HttpClient(httpClientHandler);

以上就是本文的主要内容了,如有问题,欢迎反馈。

收获更多架构知识,请关注微信公众号 萤火架构。原创内容,转载请注明出处。