2

在我的 Azure Linux Web 应用程序中,我尝试使用证书对外部提供程序执行 API 调用。该调用失败,但在 Windows 应用服务计划上部署相同代码时运行正常。等效的 cURL 命令行是:

curl --cert-type p12 --cert /var/ssl/private/THUMBPRINT.p12 -X POST https://www.example.com

调用失败并出现以下错误:

curl: (58) could not load PKCS12 client certificate, OpenSSL error error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak

该问题是由 OpenSSL 1.1.1d 引起的,默认情况下需要安全级别 2,并且我的证书使用 SHA1 和 RSA 加密进行签名:

openssl pkcs12 -in THUMBPRINT.p12 -nodes  | openssl x509 -noout -text | grep 'Signature Algorithm'

    Signature Algorithm: sha1WithRSAEncryption
    Signature Algorithm: sha1WithRSAEncryption

在普通的 Linux VM 上,我可以编辑/etc/ssl/openssl/cnf更改

CipherString = DEFAULT@SECLEVEL=2

到安全级别 1,但在 Azure Linux Web 应用程序上,我对该文件所做的更改不会持久化..

所以我的问题是:如何更改 Azure Web 应用程序的 OpenSSL 安全级别?还是有更好的方法来允许使用我的弱证书?

注意:我不是证书的颁发者,所以我不能自己重新生成它。我会与发行人核实他们是否可以重新生成它,但与此同时,如果可能的话,我想继续 :)

4

1 回答 1

7

与 Microsoft 支持人员的电话使我找到了解决方案。可以在 Web 应用程序容器启动时运行脚本,这意味着可以openssl.cnf在 dotnet 应用程序启动之前编辑文件。

为此,请导航到Configuration您的 Linux Web 应用程序的刀片,然后General settings是 ,然后是Startup command

Azure 配置刀片

Startup command是容器启动时运行的命令。你可以做你想做的事,但它必须启动你的应用程序,因为它不再自动完成。

您可以通过 SSH 连接到您的 Linux Web 应用程序,然后编辑该custom_startup.sh文件:

#!/usr/sh

# allow weak certificates (certificate signed with SHA1)
# by downgrading OpenSSL security level from 2 to 1
sed -i 's/SECLEVEL=2/SECLEVEL=1/g' /etc/ssl/openssl.cnf

# run the dotnet website
cd /home/site/wwwroot
dotnet APPLICATION_DLL_NAME.dll

相关文档可以在这里找到:https ://docs.microsoft.com/en-us/azure/app-service/containers/app-service-linux-faq#built-in-images

但是请注意,这Startup command不适用于 Azure Functions(在 2020 年 5 月 19 日撰写本文时)。我在 Github 上打开了一个问题

为了解决这个问题,我最终创建了自定义 Docker 映像:

用于 Web 应用的 Dockerfile:

FROM mcr.microsoft.com/appsvc/dotnetcore:3.1-latest_20200502.1

# allow weak certificates (certificate signed with SHA1)
# by downgrading OpenSSL security level from 2 to 1
RUN sed -i 's/SECLEVEL=2/SECLEVEL=1/g' /etc/ssl/openssl.cnf

Azure 函数的 Dockerfile:

FROM mcr.microsoft.com/azure-functions/dotnet:3.0.13614-appservice

# allow weak certificates (certificate signed with SHA1)
# by downgrading OpenSSL security level from 2 to 1
RUN sed -i 's/SECLEVEL=2/SECLEVEL=1/g' /etc/ssl/openssl.cnf
于 2020-04-30T12:25:20.803 回答