- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
如何从 Linux docker 容器中更改可用于 OpenSSL/Kestrel 的可用密码套件?
首先,让我们从一些环境细节开始:
我的 Program.cs 看起来像这样,它设置了红隼:
builder.UseKestrel(o => o.UseHttps(new HttpsConnectionFilterOptions
{
SslProtocols = SslProtocols.Tls12 | SslProtocols.Tls11,
CheckCertificateRevocation = true,
ClientCertificateMode = ClientCertificateMode.AllowCertificate
ServerCertificate = new X509Certificate2(certificate.Pfx, certificate.Password)
}))
.UseUrls(bindTo);
关键是:
SslProtocols = SslProtocols.Tls12 | SslProtocols.Tls11,
无论我在这里设置什么值(Tls12、Tls11、Tls 或这些的任何子集),它似乎都不会影响连接可用的密码套件。我正在查看我的 URL 的 sslLabs 报告,由于旧协议(protocol)上 RC4 密码的可用性,该 URL 的上限为 B 级。这是我想要解决的问题,我相信只支持 TLS1.1 和 1.2 应该可以解决这个问题。
但是例如,正如您在上面看到的,我没有提到 TLS 1.0,但它在报告中可用,这让我有点难过。
它实际上是在使用代码,还是从其他地方获取可用的密码?因为看起来 SslProtocols 属性的值确实没有区别。
当使用 Apache 时,您可以通过配置文件 (httpd.conf) 配置可用的密码套件,所以我想 kestrel 可能有一个文件来做同样的事情,但我没能找到一个。普遍的共识似乎是用代码处理它。据我所知,我做了哪些?
然后我考虑使用 Apache 作为面向 Internet 的 Web 服务器来处理密码管理,然后将请求代理到 kestrel,但这将违反该项目的契约(Contract),我们指定所有数据在期间保持加密运输的每个阶段。在将数据重新加密以传输到 kestrel 之前,先在 Apache 中解密数据的过程不可行。
然后我想也许 OpenSSL 有一个类似于 Apache 的配置文件,我可以只更改该配置来实现我需要的。我在我们的文件系统中找到了这两个文件:
/usr/lib/ssl/openssl.cnf
/etc/ssl/openssl.cnf
但是当与 Apache 配置文件比较时,它们都没有我希望看到的任何密码套件列表。或者也许是,我只是误解了文件格式?
我也遇到过这种可用于配置可用密码套件“SSL_CTX_set_cipher_list”的方法,但我认为这仅在 C++ 中可用,并且我没有找到类似的 C# 功能/包装器。我想在设置网站之前推送到 docker 时,可以编写一个 C++ 程序来设置密码套件吗?但这听起来真的很老套,我更愿意让网站自己处理它。
长话短说,我的想法很快就用完了。因此,非常感谢您的任何意见。感谢您提供的任何帮助!
最佳答案
似乎在 ASP.NET Core 3.0 中解决了,您可以在“CipherSuitesPolicy”下看到它 https://learn.microsoft.com/en-us/aspnet/core/fundamentals/servers/kestrel?view=aspnetcore-3.0
关于c# - Kestrel 和 OpenSSL 密码套件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45814484/
我曾尝试在 net.core 文档(问题等)上搜索信息但没有结果。 代码更简单: [HttpGet()] [Route("dob")] public string dobTes
对于部署在单个 AWS EC2 主机上的 .NET Core 2.2 应用程序,我比较了 IIS 托管与普通 Kestrel 托管。 对于 IIS 配置,我遵循 MS documentation .
我使用.net core 2.1并将其发布到IIS 8.5。我很难理解 .NET 核心托管的概念。 program.cs 是 public class Program { public sta
我有一个新的 ASP.NET 5 项目并按如下方式设置 project.json; "frameworks": { "dnx451": { "dependencies
我正在努力完成以下任务:我有一个运行 gRPC 服务的 asp.net core 3.1。 在应用程序的生命周期中,我希望能够暂停/停止端点/服务器监听/接受请求,并在一段时间后恢复它。 只是为了澄清
我已使用示例默认值在 Visual Studio 2019 中创建了无状态服务(创建新项目 -> Service Fabric 应用程序 -> 命名项目和解决方案 -> 无状态 ASP.NET Cor
我已使用示例默认值在 Visual Studio 2019 中创建了无状态服务(创建新项目 -> Service Fabric 应用程序 -> 命名项目和解决方案 -> 无状态 ASP.NET Cor
我们正在尝试使用 VSCode 在 Mac 上编写 ASP.NET 应用程序。我们已经成功安装了 VSCode、DNX、Yeoman、Node.js 和 npm,以及 the ASP.NET guid
我确实遇到了红隼的一个奇怪问题。我无法上传超过红隼 MaxRequestBodySize 的多个文件。 当我试图阅读 this.Request.Form.Files.GetFiles() 时,预期的行
官方MS-documentation说如果我想在 linux 上托管一个 ASP.NET 核心应用程序,我应该在它前面放置一个 apache 或 nginx 反向代理。但是,我找不到任何我应该这样做的
通过 HTTP 和 Visual Studio 内部它工作正常。但是,当我尝试通过 HTTPS 访问端点时,我看到了这个错误,我不完全确定如何解决这个问题: info: Microsoft.AspNe
我已完成以下操作,但仍然无效。运行 dotnet myapp.dll 仍然显示它正在监听 http://localhost:5000 . 创建hosting.json 代码: { "server.
我正在尝试使用 kestrel 创建 Web 应用程序。本文中https://learn.microsoft.com/pl-pl/aspnet/core/fundamentals/servers/ke
我知道不建议将 Kestrel Web 服务器暴露给外界,但将 Kestrel 置于 IIS 之后所损失的性能并不是一件可以轻易忽略的事情。 (事实上 ,迁移到 .net core 可能会失去所有
我在带有 VS2017 (15.3.5) 的 Win 7 上使用 Asp.Net core 2.0.2。 我当前的 Kestrel 配置如下所示: return WebHost.CreateDefau
如何在 Linux/OSX 上以持久的方式运行 Kestrel 网络服务器?我能够按预期运行网络服务器: 红隼 但是,我还没有找到一种方法来让它持久化,即 k 红隼 & 进程开始然后立即停止。 最佳答
我正在学习如何在 ASP.NET Core 2 中工作,我遇到了一个相当烦人的问题。每当我运行我的应用程序时,Kestrel 服务器都会忽略我的端点配置,而是开始监听一个随机端口。不用说,这不是我所期
我们有一个 ASP.NET Core 2.x 应用程序,它实现了自定义中间件,充当另一个(基于 Java 的)服务器/应用程序前面的代理。在服务器请求完成之前,此应用程序/中间件的客户端经常中止/取消
我需要通知 systemd 我的服务已成功启动,启动后需要运行的任务要求服务器已经在监听目标 Unix域套接字。 我正在使用 IWebHost::Run 来启动服务器,这是一个阻塞调用。此外,我找不到
我有以下设置:在应用程序负载均衡器 (AWS) 后面的几个 linux 容器(基于 aspnetcore 2.0.5 构建)中运行的 web api 正在使用 HttpClient 向此 api 发出
我是一名优秀的程序员,十分优秀!