.NET App accesses MSSQL to report TLS issue on Linux and Docker

1.使用.NET6开发一程式,它需要访问MSSQL,在Linux和Docker下都报:A connection was successfully established with the server, but then an error occurred during the pre-login handshake. (provider: SSL Provider, error: 31 - Encryption(ssl/tls) handshake failed)

2.初判是MSSQL版本过低,使用较旧的TLS,于是修改Linux和Docker的openssl.cnf文件。

openssl.cnf on Linux

bash 复制代码
# 1.Go to the path of openssl.cnf
  cd /etc/ssl

# 2.Backup the openssl.cnf
  sudo cp openssl.cnf openssl-bakcup.cnf

# 2.Modify the openssl.cnf
  sudo nano openssl.cnf
  #Add at the bottom of the file
    [system_default_sect]
    # CipherString = DEFAULT:@SECLEVEL=2
    MinProtocol = TLSv1
    CipherString = DEFAULT@SECLEVEL=0

openssl.cnf on Linux

bash 复制代码
# 1.Copy the openssl.cnf(/etc/ssl) of Linux to the the same directory as the Dockerfile
    sudo cp /etc/ssl/openssl.cnf {/path/to/file}

# 2.Modify Dockerfile to copy the file to Docker image.
    FROM harbor.xxx.com/dotnet/aspnet:6.0
    MAINTAINER XXX
    ENV ASPNETCORE_ENVIRONMENT=Development
    ENV TZ=Asia/Shanghai
    ENV LANG=en_US.UTF-8
    # RUN sed -i 's|\[openssl_init\]|&\nssl_conf = ssl_configuration\n[ssl_configuration]\nsystem_default = tls_system_default\n[tls_system_default]\nMinProtocol = TLSv1\nCipherString = DEFAULT@SECLEVEL=0|' /etc/ssl/openssl.cnf
    COPY ./openssl.cnf /etc/ssl/openssl.cnf

    WORKDIR /app

    #RUN dotnet restore
    #RUN dotnet publish -c Release -o out -r linux-x64

    COPY ./publish .
    ENV ASPNETCORE_URLS http://0.0.0.0:80
    ENTRYPOINT ["dotnet", "xxx.dll"]

CipherString 选项

CipherString 用于定义可接受的密码套件和安全级别。密码字符串 DEFAULT 表示使用 OpenSSL 内置的默认密码套件。

  • @SECLEVEL=2 为密码套件设置安全级别(Level 2)。OpenSSL 支持以下安全级别:
Level 描述
0 无任何安全保证
1 避免使用弱加密算法,如单 DES 或 40 位 RC4
2 要求 112 位安全强度(默认),禁止使用过时的密码套件,如 SSLv3 和低强度密码套件。
3 要求 128 位安全强度,进一步约束密码套件的选择。
4 要求 192 位安全强度,进一步约束密码套件的选择。
5 要求 256 位安全强度,仅允许最高强度的加密算法。
相关推荐
IT成长日记3 小时前
【Docker基础】Docker数据持久化与卷(Volume)介绍
运维·docker·容器·数据持久化·volume·
热爱生活的猴子3 小时前
阿里云服务器正确配置 Docker 国内镜像的方法
服务器·阿里云·docker
技术小赵5 小时前
优化Facebook广告投放的五大关键策略
经验分享
物联网老王5 小时前
Ubuntu Linux Cursor 安装与使用一
linux·运维·ubuntu
FrankYoou7 小时前
Jenkins 与 GitLab CI/CD 的核心对比
java·docker
一位摩羯座DBA7 小时前
Redhat&Centos挂载镜像
linux·运维·centos
学习3人组7 小时前
CentOS配置网络
linux·网络·centos
隆里卡那唔7 小时前
在dify中通过http请求neo4j时为什么需要将localhost变为host.docker.internal
http·docker·neo4j
疯子的模样7 小时前
Docker 安装 Neo4j 保姆级教程
docker·容器·neo4j
weixin_307779137 小时前
Hive集群之间迁移的Linux Shell脚本
大数据·linux·hive·bash·迁移学习