1 votos

No se puede completar el protocolo de enlace SSL con un servidor de la imagen GCE Ubuntu 16.04.1 (pero funciona en cualquier otro lugar)

Estoy tratando de conectar a swift.ca-ns-1.clouda.ca:8443 a través de SSL. Yo me puedo conectar a este servidor de varias otras máquinas como de otras frutas 16.04.1 cajas (no en la CME), y me puedo conectar a ella desde otras instancias de la CME que no son de Ubuntu 16.04.1, pero cuando intento conectar desde cualquier Ubuntu 16.04.1 de la CME ejemplo, el protocolo de enlace SSL falla. He publicado un ejemplo de salida de openssl a continuación. Tenga en cuenta que puede conectarse a cualquier otro servidor SSL he intentado. CloudA sí mismos no podía entenderlo. Alguna idea?

% openssl s_client -connect swift.ca-ns-1.clouda.ca:8443
CONNECTED(00000003)
write:errno=104
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 305 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1475846555
Timeout : 300 (sec)
Verify return code: 0 (ok)
---

ACTUALIZACIÓN: he confirmado esto sólo sucede en los estados unidos-central1 zonas (cualquier subletter también se ve afectada). La creación de una instancia en nosotros-east1 funciona perfectamente bien.

3voto

Steffen Ullrich Puntos2354

escribir:errno=104
...
Protocolo de enlace SSL tiene 0 bytes y escrito 305 bytes

Esto significa que

  • la conexión TCP con el servidor fue exitosa
  • openssl s_client intentado iniciar la negociación TLS mediante el envío de la ClientHello
  • el servidor o algún middlebox (firewall, equilibrador de carga...) provocó un RST (errno 104 ECONNRESET) de la conexión TCP (probablemente) como respuesta a la ClientHello

Es imposible decir a partir de esta información lo que causó la PRIMERA y lo que el sistema tiene que enviar. Pero uno puede intentar reducir algunos experimentos:

  • Compruebe que todos los 16.04.1 (de trabajo y de no trabajo) utilizar la misma versión de openssl. Llamando openssl version no es suficiente, puesto que las distribuciones de backport cambios a versiones anteriores y el número de versión no se cambia. Usar en lugar de openssl version -a y comparar el tiempo de construcción. Si no son la misma asegurarse de que son y prueba de nuevo.
  • Compruebe que utiliza la misma dirección IP de destino en todos los sistemas, es decir, trate de usar s_client con una IP de destino en su lugar.
  • Compruebe si el servidor tiene problemas con la dirección IP de origen por el túnel de la conexión (por ejemplo, con OpenSSH), de modo que se origina a partir de una buen sistema. Si tienes la mala suerte de que su dirección IP está en alguna lista negra, porque de las actividades de la anterior propietario.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

;