.NET App accesses MSSQL to report TLS issue on Linux and Docker

1.使用.NET6开发一程式,它需要访问MSSQL,在Linux和Docker下都报:A connection was successfully established with the server, but then an error occurred during the pre-login handshake. (provider: SSL Provider, error: 31 - Encryption(ssl/tls) handshake failed)

2.初判是MSSQL版本过低,使用较旧的TLS,于是修改Linux和Docker的openssl.cnf文件。

openssl.cnf on Linux

bash 复制代码
# 1.Go to the path of openssl.cnf
  cd /etc/ssl

# 2.Backup the openssl.cnf
  sudo cp openssl.cnf openssl-bakcup.cnf

# 2.Modify the openssl.cnf
  sudo nano openssl.cnf
  #Add at the bottom of the file
    [system_default_sect]
    # CipherString = DEFAULT:@SECLEVEL=2
    MinProtocol = TLSv1
    CipherString = DEFAULT@SECLEVEL=0

openssl.cnf on Linux

bash 复制代码
# 1.Copy the openssl.cnf(/etc/ssl) of Linux to the the same directory as the Dockerfile
    sudo cp /etc/ssl/openssl.cnf {/path/to/file}

# 2.Modify Dockerfile to copy the file to Docker image.
    FROM harbor.xxx.com/dotnet/aspnet:6.0
    MAINTAINER XXX
    ENV ASPNETCORE_ENVIRONMENT=Development
    ENV TZ=Asia/Shanghai
    ENV LANG=en_US.UTF-8
    # RUN sed -i 's|\[openssl_init\]|&\nssl_conf = ssl_configuration\n[ssl_configuration]\nsystem_default = tls_system_default\n[tls_system_default]\nMinProtocol = TLSv1\nCipherString = DEFAULT@SECLEVEL=0|' /etc/ssl/openssl.cnf
    COPY ./openssl.cnf /etc/ssl/openssl.cnf

    WORKDIR /app

    #RUN dotnet restore
    #RUN dotnet publish -c Release -o out -r linux-x64

    COPY ./publish .
    ENV ASPNETCORE_URLS http://0.0.0.0:80
    ENTRYPOINT ["dotnet", "xxx.dll"]

CipherString 选项

CipherString 用于定义可接受的密码套件和安全级别。密码字符串 DEFAULT 表示使用 OpenSSL 内置的默认密码套件。

  • @SECLEVEL=2 为密码套件设置安全级别(Level 2)。OpenSSL 支持以下安全级别:
Level 描述
0 无任何安全保证
1 避免使用弱加密算法,如单 DES 或 40 位 RC4
2 要求 112 位安全强度(默认),禁止使用过时的密码套件,如 SSLv3 和低强度密码套件。
3 要求 128 位安全强度,进一步约束密码套件的选择。
4 要求 192 位安全强度,进一步约束密码套件的选择。
5 要求 256 位安全强度,仅允许最高强度的加密算法。
相关推荐
深思慎考17 分钟前
计算机操作系统——进程控制(Linux)
linux·服务器·c++·c
蜗牛丨32 分钟前
Go Vue3 CMS管理后台(前后端分离模式)
mysql·docker·go·vue3·axios·gin·jwt·分页·跨域·ant design vue·log·gorm·otp动态码登录·validator·模型绑定·权限判断
阿熊不会编程41 分钟前
【计网】自定义协议与序列化(一) —— Socket封装于服务器端改写
linux·开发语言·网络·c++·设计模式
北冥有鱼被烹1 小时前
微知-如何通过lspci指定某个deviceid查看pcie设备?(lspci -d 15b3:和lspci -d :1021 )
linux·pcie
菜鸟小灰灰1 小时前
搭建私有docker仓库
运维·docker·容器
一只小菜鸡1 小时前
python+django5.1+docker实现CICD自动化部署springboot 项目前后端分离vue-element
python·docker·自动化
炽天使1 小时前
aws rds-mysql不支持性能详情监控
linux·数据库·mysql·云计算·aws·rds
csdn_金手指1 小时前
docker 通过Dockerfile自定义的镜像部署Springboot项目
spring boot·docker·容器
追风赶月、1 小时前
【Linux】线程同步与互斥
linux
极小狐2 小时前
极狐GitLab 17.6 正式发布几十项与 DevSecOps 相关的功能【四】
gitlab·devops·极狐gitlab