Рейтинг:0

DHCP Kea High Availability через TLS не работает

флаг km
GJE

Я установил 2 сервера Kea 2.0.1 в виртуальной машине Debian 10 Buster в Virtual Box 6.1.26 r145957 (Qt5.6.2), а также в VMware Workstation Player 16.1.2 build-17966106. Высокая доступность без TLS работает нормально, и у меня есть был упомянут в справочном руководстве администратора kea для конфигураций kea-dhcp4 и kea-ca (controlagent) (https://kea.readthedocs.io/en/kea-2.0.1/arm/intro.html).

Журналы высокой доступности без TLS

Когда я пытаюсь настроить его с помощью TLS, он выдает следующую ошибку рукопожатия TLS.

2022-02-07 10:38:22.970 DEBUG [kea-ctrl-agent.http/4703.140102598186880] HTTP_CONNECTION_HANDSHAKE_START начать рукопожатие TLS с 192.168.0.20 с тайм-аутом 10 2022-02-07 10:38:23.972 INFOltrc-agent-a .http/4703.140102598186880] http_connection_handshake_failed tls рукопожатия 192.168.0.20 с http request 2022-02-07 10: 38: 23.972 Depug [kea-ctrl-agent.http/4703.140140101401014010140140101014014010140.2.972.

Чтобы настроить tls-соединение, я создал центр сертификации с самозаверяющим сертификатом и DNS-сервером bind9.Что касается создания сертификатов TLS с альтернативными именами субъекта, для которых задано имя DNS и IP-адрес, меня отослали к /kea-2.0.1/src/lib/asiolink/testutils/ca/doc.txt.

  (Создайте самозаверяющий сертификат ЦС)
$ sudo openssl genrsa -aes128 -out kea-ca.key 4096
$ sudo openssl req -new -x509 -days 3650 -key kea-ca.key -out kea-ca.crt -extensions v3_ca -config server-conf.cnf


  (Сертификат сервера Кеа)
$ sudo openssl genrsa -aes128 -out kea-server-aes.key 2048
$sudo openssl pkcs8 -in kea-server-aes.key -out kea-server.key -nocrypt
$sudo rm kea-server-aes.key (закрытый ключ сервера должен быть незашифрованным)
$ sudo openssl req -new -key kea-server.key -out kea-server-addr.csr -config server-addr-conf.cnf
$sudo openssl x509 -req -days 3650 -in kea-server-addr.csr -CA kea-ca.crt -CAkey kea-ca.key -set_serial 30 -out kea-server-addr.crt -extfile ext-addr- conf.cnf -sha256

 (Используйте c_rehash или openssl rehash для создания хэшей)

$sudo openssl перефразировать.

Для устранения неполадок я пробовал следующее:

  1. Захват пакетов данных с помощью wireshark (введите описание изображения здесь) - После отправки сообщения пульса для синхронизации с другой пир, что-то пошло не так и TCP-соединение обрывается немедленно. захват проволочной акулы
  2. Отправка завиток POST для агента управления kea работает успешно. HTTP-ответ
  3. Тестирование сертификатов kea с помощью проверка openssl инструмент, как описано в openssl, проверить - все кажется, все в порядке. проверка openssl
  4. Устранение неполадок с tls-соединением с openssl s_client -showcerts.

Поскольку вывод ошибок не очень помогает, я хотел спросить, есть ли у кого-нибудь опыт решения этой проблемы или аналогичных проблем.

GJE avatar
флаг km
GJE
Я наконец нашел решение. В kea dhcp4 ha конфиги trust-anchor, cert-file, key-file должны быть определены на глобальном или равноправном уровне, а URL-адрес должен быть в https.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.