我正在努力将设备连接到.Net(4.5.2)服务器。它是由设备打开的TCP连接,使用TLS 1.2。
SslStream包裹DotNetty 任何.Net客户端都可以使用安全的TLS连接成功连接到我的服务器。它在使用CURL时也正常工作,所以我认为我的TCP服务器工作正常。
所以我比较了(使用Wireshark)工作客户端发送的内容与无法连接的设备发送的内容。我发现的显着差异是客户端Hello TLS消息中Server Name Extension (SNI)的缺失(对于设备而言)。
我尝试的下一件事是使用Pcap.Net手动将数据发送到我的服务器,即使用原始字节数组手动发送TCP SYN / TCP ACK /客户端Hello消息(我得到的原始数据(感谢Wireshark)设备试图连接到我的服务器)。我确认通过添加服务器名称扩展来调整不工作的客户端Hello原始字节数组会导致我的TLS握手工作。
显然,我遇到了不包含SNI扩展的客户端和拒绝握手的服务器的问题,如果此信息不存在。
如何更改TCP服务器接受不提供服务器名称扩展的客户端的行为方式?是否有可能首先使用标准.Net SslStream类?
AFAIK,SNI扩展不是强制性的,由客户决定是否使用它,因此服务器理论上 接受没有它的客户端Hello消息。
任何指针都会非常感激。
答案 0 :(得分:1)
.Net 4.5.2支持TLS1.2但默认情况下禁用。
要启用它,您必须明确定义安全协议集。
System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12 | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls;
有关详细信息,请参阅以下链接 https://msdn.microsoft.com/en-us/library/system.net.servicepointmanager.securityprotocol%28v=vs.110%29.aspx