- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
我获得了一个在 Linux Docker 容器中运行的 .NET Core 项目来进行构建,在 docker 配置端似乎一切正常,但是当我运行此命令时:dotnet publish -c Release - o out
,我收到下面的 SSL 身份验证错误。
无法建立 SSL 连接,请参阅内部异常。身份验证失败,因为远程方已关闭传输流。
我做了我的研究,显然我似乎失踪了:
ASPNET 的环境变量 Kestrel(根据 https://github.com/aspnet/AspNetCore.Docs/issues/6199 ),我将其添加到我的 docker-compose
中,但我认为这不是问题所在。
Developer .pfx 证书,因此我使用证书文件的 Kestrel 路径更新了我的 docker-compose
,如下所示。
version: '3'
services:
netcore:
container_name: test_alerting_comp
tty: true
stdin_open: true
image: alerting_netcore
environment:
- http_proxy=http://someproxy:8080
- https_proxy=http://someproxy:8080
- ASPNETCORE_ENVIRONMENT=Development
- ASPNETCORE_URLS=https://+;http://+
- ASPNETCORE_HTTPS_PORT=443
- ASPNETCORE_Kestrel__Certificates__Default__Password="ABC"
- ASPNETCORE_Kestrel__Certificates__Default__Path=/root/.dotnet/corefx/cryptography/x509stores/my
ports:
- "8080:80"
- "443:443"
build: .
#context: .
security_opt:
- seccomp:unconfined
volumes:
- "c:/FakePath/git/my_project/src:/app"
- "c:/TEMP/nuget:/root"
networks:
- net
networks:
net:
我重新运行 docker 容器并执行 dotnet publish -c Release -o out
,结果相同。
我可以从我的主机对我的本地 NuGet 执行此操作:
A) wget https://nuget.local.com/api/v2
没有问题,
B) 但是从容器我不能。
C) 但是从容器我可以对官方 NuGet wget https://api.nuget.org/v3/index.json
执行此操作,所以我的代理肯定工作正常。
调试 SSL 问题:
给定的 .pfx 证书是一个自签名证书,它在 Windows 操作系统上工作正常(至少有人告诉我)。
strace
向我展示了从哪里提取证书,如下所示root@9b98d5447904:/app# strace wget https://nuget.local.com/api/v2 |& grep certs open("/etc/ssl/certs/ca-certificates.crt", O_RDONLY ) = 3
我按如下方式导出了 .pfx:openssl pkcs12 -in ADPRootCertificate.pfx -out my_adp_dev.crt
然后将其移动到 /usr/local/share/ca-certificates/
,删除私有(private)部分,只留在文件公共(public)部分(-----BEGIN CERTIFICATE----- -----END CERTIFICATE-----
)已执行 update-ca-certificates
我可以看到 1 添加
,在文件 /etc/ssl/certs/ca-certificates.crt
中仔细检查,新证书就在那里。
再次执行 wget https://nuget.local.com/api/v2
并失败。
我使用 OpenSSL 获取更多信息,如您所见,它不起作用,证书有一个奇怪的 CN,因为他们对主题使用了通配符,对我来说这是错误的,但他们声明 . pfx 在 Windows 操作系统中运行。
root@ce21098e9643:/usr/local/share/ca-certificates# openssl s_client -connect nuget.local.com:443 -CApath /etc/ssl/certs
CONNECTED(00000003)
depth=0 CN = *.local.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = *.local.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/CN=\x00*\x00l\x00o\x00c\x00a\x00l\x00.\x00c\x00o\x00m
i:/C=ES/ST=SomeCity/L=SomeCity/OU=DEV/O=ASD/CN=Development CA
---
Server certificate
-----BEGIN CERTIFICATE-----
XXXXXXXXXXX
XXXXXXXXXXX
-----END CERTIFICATE-----
subject=s:/CN=\x00*\x00l\x00o\x00c\x00a\x00l\x00.\x00c\x00o\x00m
issuer=i:/C=ES/ST=SomeCity/L=SomeCity/OU=DEV/O=ASD/CN=Development CA
---
No client certificate CA names sent
Peer signing digest: SHA1
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 1284 bytes and written 358 bytes
Verification error: unable to verify the first certificate
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-SHA384
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-SHA384
Session-ID: 95410000753146AAE1D313E8538972244C7B79A60DAF3AA14206417490E703F3
Session-ID-ctx:
Master-Key: B09214XXXXXXX0007D126D24D306BB763673EC52XXXXXXB153D310B22C341200EF013BC991XXXXXXX888C08A954265623
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1558993408
Timeout : 7200 (sec)
Verify return code: 21 (unable to verify the first certificate)
Extended master secret: yes
---
我不知道我面临的是什么问题,但似乎是:
A) 自签名的 .pfx 配置错误,现在它在 Linux 中使用它不能正常工作。
B) 我需要在容器中进行一些我不知道的配置。
我还应该做什么?
我正在考虑创建其他证书以供 Linux 主机使用。
使用 OpenSSL 为 IIS 版本 8 创建另一个自签名证书并将其导入 IIS 是否可行?
欢迎任何想法,干杯。
最佳答案
self 回答
这不是 Linux 容器问题,这是 Web 服务器 (IIS) 中的证书问题,因为我们使用的是自签名证书,这样证书将始终是 无效证书
。自签名证书在 Windows 操作系统端工作正常,与无效错误无关。 当然,自签名证书仅适用于测试环境。
在 Linux 操作系统中,当您尝试从 NuGet 中提取包时,您将收到以下错误,因为:
1) 证书确实无效,并且
2) 因为显然没有忽略来自 Linux 端的无效证书的选项。
The SSL connection could not be established, see inner exception.
The remote certificate is invalid according to the validation procedure.
解决方案 是您在公司环境中工作,向系统管理员请求一个正确的签名证书,为此您从您的网络服务器生成一个 CSR,在我的例子中是 IIS,然后通过它给他们,所以他们会发回给你一个 .cer 文件来安装在那个网络服务器上。
我尝试做的另一个选择但由于我公司环境的限制我不能,是创建一个假的 CA(使用 OpenSSL),然后你自己签署 CSR为您的开发或测试环境准备一些有效证书。
很抱歉自己回答这个问题,但我相信分享我的发现是值得的。
希望对您有所帮助。
关于linux - 由于对 Nuget 的 SSL 身份验证,docker linux 容器中的 .NET Core 构建失败,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56347153/
我已经在Visual Studio中创建了新的解决方案,启用了nuget包还原,并进入了解决方案根.nuget文件夹,该文件夹包含使包还原正常工作所需的以下文件:NuGet.exe,NuGet.con
自 Nuget 1.5 以来,我的团队一直在使用“启用包还原”选项,以使包不受我们的源代码控制。当 Nuget 1.6 发布时,我们注意到一个问题,即它没有拉取软件包,并跟踪它到 .nuget 文件夹
我维护了一些小的 Nuget 包。 我在 git 存储库中有一个 Nuget README 文件,.nupkg 文件由 VS 根据“Package”配置自动构建,存储在 .csproj 文件。 每当我
我们是一个小型开发团队,我们希望开始使用我们的库作为 NuGet 包。现在我已经看到我们可以创建 NuGet 提要或 NuGet 服务器或 NuGet 画廊。 现在我们不确定有什么区别,对于我们的小团
我正在编写一个脚本,它将自动打包 Nuget 文件并将其发布到我的私有(private)存储库(文件共享)和私有(private)符号服务器(在 localhost 上)。 当我运行 nuget pa
我有一个解决方案,我想从两个项目中创建一个 NuGet 包。 如果它只是一个项目,我会使用 .csproj 文件来规范 NuGet 打包器,但由于我希望两个不同的项目进入完成的包,我不能这样做。 我创
我正在做一个需要处理 Excel 文件的项目。我为这项工作找到了一个名为 Aspose.cells 的库。它不是一个免费的图书馆,我们应该从它的网站购买它的许可证,以便在我们的项目中使用它。但是,我发
我已经使用 Nuget 安装程序创建了一个 TeamCity 构建步骤,但是当我运行这些步骤时出现错误: Updating sources: server side checkout [15:35:4
是否有任何指南或建议来管理不在 nuget 上的库以及在 nuget 上的包。 其中大多数可能是 3rd 方库,除非我们专门安装它们,否则它们可能永远不会继续使用 nuget。 最好将这些 dll 放
我一直在研究自托管 NuGet,但很难理解如何设置它以及它如何帮助支持我们的开发过程。 有没有人对使用哪个,如何设置有任何建议? 或者我应该只使用托管服务? 最佳答案 在查看了各种解决方案(自托管和托
我正在为 OSGeo.FDO 创建 nuget 包,但我遇到了以下问题。 FDO 使用 providers.xml列出它可以使用的所有提供程序的文件。所以我创建了一个名为 OSGeo.FDO 的主包包
我想知道 NuGet 的含义是什么。它是像blah blah get这样的东西吗?它甚至有一个有意义的名字吗?或者它是某物的缩写还是有人为了好玩而决定这个名字?请帮忙,这个问题已经困扰了我 1 周。
This question already has answers here: Is it possible to change the location of packages for NuGet?
如何在 Visual Studio 之外下载 NuGet 包?所以它可以用来创建离线包。 最佳答案 如何在没有 Visual Studio 或 Nuget 包管理器的情况下下载 NuGet 包: 在
我似乎在网络上找不到任何对此表示赞同或反对的地方。谁能指出我的答案吗?或者更好的是,如果您从事 NuGet 工作,您能否给出一些指示,说明是否有任何计划允许商业库包(我认为需要某种身份验证)包含在未来
我已经打开了 TeamCity 的 NuGet 服务器,我想推送公共(public)包(即来自 NuGet.org 等公共(public)资源),因为构建服务器无法看到我们公司外部的信息,因此从 Nu
在我的工作团队中,我们依赖两个 NuGet 提要:来自 NuGet.org 的官方提要用于公共(public)包,而我们文件服务器上的文件夹用于内部包。 这对我们来说效果很好,但我认为我们有一个潜在的
我在我工作的 Web 服务器(在 IIS 7.0 下)上设置了新的 NuGet Gallery。该网站本身已设置并运行良好。我们能够注册帐户、确认电子邮件地址,甚至通过网站本身上传新包。 我们的自动构
当我们在 Visual Studio 2017 中创建 nuget 包时,它默认将项目引用添加为另一个 nuget 引用。 我们如何在创建包时禁用它,而是: 选择不同的包名 在创建包时包含项目的 dl
我可以执行类似 - mono --runtime=v4.0.30319 /Library/TeamCity/buildAgent/work/b0d2d3fefe88d393/.nuget/NuGet.
我是一名优秀的程序员,十分优秀!