问题标签 [tls1.3]

希望您能够帮助我。我有一个使用 mongodb 2.6.7 的 java 应用程序。现在我必须升级到 4.4.0 版本。在此过程中，我决定实施 TLS 连接，我的问题就从这里开始了。连接超时。

为了简化工作，我决定直接使用 mongo shell 进行连接。现在，情况是这样的：

我在 linux pc 上激活了 mongod 服务器（ubuntu 20.04 - ip: 192.168.1.191，mongodb 安装了 4.4.0，OpenSSL 安装了 1.1.1f），我试图连接 Windows 10 pc（2004 版 - ip: 192.168 .1.193，mongodb 安装 4.4.0，OpenSSL 安装 1.1.1g)。我使用以下命令创建了一个自签名证书：

然后我用这个命令启动了 mongod：

这里是 mongod.conf：

我在我的 Win pc certificate.pem 和 cacert.pem 上下载并尝试连接：

结果：

经过一千次尝试，我尝试反之亦然，在 windows 上安装 mongodb 服务器并从 linux 连接到 windows。我按照相同的程序创建证书，mongod 的相同配置，使用 mongo 命令的相同连接参数（在 linux 上上传 win 证书之后）。Linux mongo 命令正确连接到 mongod windows 服务器。

因此，我尝试通过 OpenSSL 直接测试连接，以保持 mongo 服务器（在 linux 和 windows 上）都处于活动状态。从 linux (ip:192.168.1.191) 我启动了命令：

从 windows (ip:192.168.1.193) 我启动了命令：

查看最后 2 个代码块，我认为协议不匹配... Linux 使用 TLS 1.3，Windows 使用 1.2 协议。这可能是问题吗？在这种情况下我该如何解决？否则可能是什么问题？（和解决方案）

在此先感谢您的帮助

Ps 在使用 mongo v4.4 之前我尝试过 v4.2 ......同样的事情

我在 Centos 7 操作系统上使用带有 MongoDB Java 驱动程序 3.9 的 MongoDB 3.6 和带有 OpenSSL 1.0.1e-fips 的 OpenJDK 11。

支持 TLSv1.3 所需的最小更改是什么？我们有 TLS 版本、MongoDB、Driver 和 Java 的矩阵吗？

浏览下面的 MongoDB Doc 是启用 TLS/SSL 的一些选项。

对于 MongoDb 3.6： mongo --ssl --sslPEMKeyFile --sslCAFile --authenticationDatabase '$external' --authenticationMechanism MONGODB-X509

--tlsDisabledProtocols arg：要禁用的 TLS 协议的逗号分隔列表 [TLS1_0,TLS1_1,TLS1_2]

对于 MongoDb 4.2： mongo --tls --tlsCertificateKeyFile --tlsCAFile --authenticationDatabase '$external' --authenticationMechanism MONGODB-X509

--tlsDisabledProtocols arg：要禁用的 TLS 协议的逗号分隔列表 [TLS1_0,TLS1_1,TLS1_2]

它将需要驱动程序升级

试图强制应用程序使用特定版本的 TLS -Djdk.tls.client.protocols=TLSv1.2：握手成功 -Djdk.tls.client.protocols=TLSv1.3：（HANDSHAKE_FAILURE）：无法启动握手

Mongodb 4.4 发行说明中的​​简短说明 TLS 1.3 支持 在 CentOS 8 和 RHEL 8 上，MongoDB 4.4（以及版本 4.2、4.0 和 3.6）支持 TLS1.3。

任何人都可以建议我需要升级所有技术堆栈以将影响降至最低吗？ 感谢你的帮助！！

我正在用 Java 8 编写程序。（以后可能会升级到 Java 11）。这些程序基本上是两台服务器，API 相互通信。

由于我想使用 TLS1.3 协议，我发现 OpenJSSE 对我来说可能是一个不错的选择（它支持 Java 8 的 TLS1.3。）但是，在我添加了 OpenJSSE 1.1.4 的依赖项之后，我没有知道要做什么...

我知道这听起来很愚蠢，但我几乎找不到任何关于图书馆的教程。（除了“-XX:+UseOpenJSSE”）

例如，我想使用ChaCha20KeyGenerator，但它是一个带有受保护方法的最终类。我只是不能成功地打电话给他们。还是我完全错误地使用它？

我们从业务任务中得到将它们之间的安全连接升级到 TLS 1.3。我们使用的是 Java 8 / WildFly 8.2，所以我们想在那里尝试使用 Azule OpenJSSE 解决方案：

https://mvnrepository.com/artifact/org.openjsse

所以我将它安装在 ext 目录中，将提供程序添加到 java.security 并将依赖项添加到我们项目的 pom.xml。没有什么特别的事情发生，应用程序正常工作。现在我想尝试这些更改是否产生了一些效果。我有模拟应用程序，它试图以某种方式模拟我们的客户端外部服务器之一。

这是 Spring Boot 应用程序（2.1.3.RELEASE）。如果我添加到它的 pom.xml openjsse 依赖项并更改 application.properties：

server.ssl.enabled-protocols=TLSv1.3

我从 IntelliJ 运行它，它正常启动。但是如果我从 mvn package 创建包并且我正常运行这个 jar

java -jar target\mock.jar

我得到了这样的东西：

我不明白，为什么会有不同。伙计们，你能帮帮我吗？:P

所以，一段时间以来，我一直在试图弄清楚如何使用 tls 1.3 而不是 tls 1.2 颁发 SSL 证书，因为我不确定是否需要更改 OpenSSL.cnf 文件中的某些内容，或者是否需要给它加点东西？

这是我使用的扩展：

如何添加 tls 1.3？

知道我的应用程序的解决方法是什么。我的应用程序在我们的服务器使用 TLS 1.2 之前运行良好，在我们升级到 TLS 1.3 后，所有 HttpClient POST 和 GET 请求都不起作用并出现异常

内部异常

下图是我使用的高级 Android Option 配置。

下面的代码片段是 HttpClient 请求的 ny HttpClient 设置。

• Visual Studio 社区 2019 版本 16.7.2
• .Net 框架 4.8 版

我对TLS 1.3 协议的理解是，客户端通过检查服务器发送的证书中的公钥来对服务器进行身份验证。在客户端连接之前，操作系统通常必须对服务器的域进行 DNS 查找，以了解客户端应该连接到哪个地址。

如果已知操作系统使用 DNSSEC 而不是普通 DNS 来查找服务器的域，并且如果 DNSSEC 返回服务器的公钥以及服务器的域和地址（或者说整个证书）以供操作系统缓存，那么服务器就没有必要在 TLS 握手期间提供其证书，因为客户端可以从操作系统缓存的 DNS 数据中获取它，对吗？

我想在 UWP 项目中使用 TLS1.3，但我不知道如何为我的 UWP 项目编译这个https://www.openssl.org/source/openssl-1.1.1g.tar.gz。

我正在寻找一种在 Go 中使用越界PSK 建立 TLS 会话的方法。我控制服务器和客户端。

阅读Golang TLS implementation，似乎该库仅支持会话恢复中的 PSK，其中 PSK 是从以前的会话中获取的。但是，在我的场景中，PSK 在服务器和客户端之间建立带外，根据RFC 8446（“TLS PSK 可以带外建立”），AFAIK 是“允许的”。有谁知道 Go 是否支持已经或者是否还有其他 TLS 库可以做到？

如果我在 gRPC 中使用 TLS，如何强制使用 TLS1.3？我正在使用 C++。

我有 TLS 工作，但是否有办法强制执行特定的 TLS 版本？