Amazon web services 与AWS全球加速器的TLS连接问题
我有一个工作负载平衡器(澳大利亚悉尼)/全球加速器设置,但是,中美洲地区(特别是萨尔瓦多和哥斯达黎加)的客户通过AWS全球加速器使用此设置时,我遇到了一些问题 对于我自己(澳大利亚悉尼)和美国的其他用户来说,通过全球加速器连接没有问题 我使用的客户机非常环保,执行大量命令行脚本并不舒服。从我对他们的测试来看,似乎TLS握手中出现了一些问题 这是一个不工作的全局加速器旋度Amazon web services 与AWS全球加速器的TLS连接问题,amazon-web-services,Amazon Web Services,我有一个工作负载平衡器(澳大利亚悉尼)/全球加速器设置,但是,中美洲地区(特别是萨尔瓦多和哥斯达黎加)的客户通过AWS全球加速器使用此设置时,我遇到了一些问题 对于我自己(澳大利亚悉尼)和美国的其他用户来说,通过全球加速器连接没有问题 我使用的客户机非常环保,执行大量命令行脚本并不舒服。从我对他们的测试来看,似乎TLS握手中出现了一些问题 这是一个不工作的全局加速器旋度 curl -Ikv https://GAIP1 * Rebuilt URL to: https://GAIP1/ * T
curl -Ikv https://GAIP1
* Rebuilt URL to: https://GAIP1/
* Trying GAIP1...
* TCP_NODELAY set
* Connected to GAIP1 (GAIP1) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/cert.pem
CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to GAIP1:443
* stopped the pause stream!
* Closing connection 0
curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to GAIP1:443
curl -Ikv https://GAIP2
* Rebuilt URL to: https://GAIP2/
* Trying GAIP2...
* TCP_NODELAY set
* Connected to GAIP2 (GAIP2) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/cert.pem
CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to GAIP2:443
* stopped the pause stream!
* Closing connection 0
curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to GAIP2:443
这是一个工作负载平衡器
curl -Ikv https://loadbalancer.dns.name
* Rebuilt URL to: https://loadbalancer.dns.name/
* Trying ALBIP1...
* TCP_NODELAY set
* Connected to loadbalancer.dns.name (ALBIP1) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/cert.pem
CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use h2
* Server certificate:
* subject: CN=valid.domain
* start date: Apr 9 00:00:00 2020 GMT
* expire date: May 9 12:00:00 2021 GMT
* issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon
* SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x7fbdd4004800)
> HEAD / HTTP/2
> Host: loadbalancer.dns.name
> User-Agent: curl/7.54.0
> Accept: */*
>
* Connection state changed (MAX_CONCURRENT_STREAMS updated)!
< HTTP/2 302
HTTP/2 302
< date: Tue, 12 May 2020 23:36:34 GMT
date: Tue, 12 May 2020 23:36:34 GMT
< content-type: text/html; charset=utf-8
content-type: text/html; charset=utf-8
< content-length: 200
content-length: 200
< location: http://loadbalancer.dns.name/Error?aspxerrorpath=/
location: http://loadbalancer.dns.name/Error?aspxerrorpath=/
< set-cookie: AWSALB=####; Expires=Tue, 19 May 2020 23:36:34 GMT; Path=/
set-cookie: AWSALB=####; Expires=Tue, 19 May 2020 23:36:34 GMT; Path=/
< set-cookie: AWSALBCORS=####; Expires=Tue, 19 May 2020 23:36:34 GMT; Path=/; SameSite=None; Secure
set-cookie: AWSALBCORS=####; Expires=Tue, 19 May 2020 23:36:34 GMT; Path=/; SameSite=None; Secure
< server: Microsoft-IIS/8.0
server: Microsoft-IIS/8.0
< x-powered-by: ASP.NET
x-powered-by: ASP.NET
< p3p: CP="NO COMPACT POLICY DEFINED"
p3p: CP="NO COMPACT POLICY DEFINED"
< x-frame-options: SAMEORIGIN
x-frame-options: SAMEORIGIN
<
* Connection #0 to host loadbalancer.dns.name left intact
curl-Ikvhttps://loadbalancer.dns.name
*重新生成的URL到:https://loadbalancer.dns.name/
*正在尝试。。。
*TCP_节点集
*已连接到loadbalancer.dns.name(ALBIP1)端口443(#0)
*阿尔卑斯山,提供h2
*ALPN,提供http/1.1
*密码选择:全部:!出口:!出口40:!出口56:!阿努尔:!低:!RC4:@强度
*已成功设置证书验证位置:
*CAfile:/etc/ssl/cert.pem
卡帕斯:没有
*TLSv1.2(输出),TLS握手,客户端问候(1):
*TLSv1.2(IN)、TLS握手、服务器hello(2):
*TLSv1.2(IN),TLS握手,证书(11):
*TLSv1.2(IN)、TLS握手、服务器密钥交换(12):
*TLSv1.2(IN),TLS握手,服务器完成(14):
*TLSv1.2(输出)、TLS握手、客户端密钥交换(16):
*TLSv1.2(OUT),TLS更改密码,客户端hello(1):
*TLSv1.2(输出),TLS握手,完成(20):
*TLSv1.2(IN),TLS更改密码,客户端hello(1):
*TLSv1.2(IN),TLS握手,完成(20):
*使用TLSv1.2/ECDHE-RSA-AES128-GCM-SHA256的SSL连接
*ALPN,服务器接受使用h2
*服务器证书:
*主题:CN=valid.domain
*开始日期:2020年4月9日00:00:00 GMT
*到期日期:格林威治时间2021年5月9日12:00:00
*发行人:C=美国;O=亚马逊;OU=服务器CA 1B;CN=亚马逊
*SSL证书验证正常。
*使用HTTP2,服务器支持多用途
*连接状态已更改(HTTP/2已确认)
*升级后正在将流缓冲区中的HTTP/2数据复制到连接缓冲区:len=0
*使用流ID:1(易处理0x7fbdd4004800)
>HEAD/HTTP/2
>主机:loadbalancer.dns.name
>用户代理:curl/7.54.0
>接受:*/*
>
*连接状态已更改(最大并发流已更新)!
我曾尝试与AWS支持人员合作,但是,他们要求我运行一些UTIL,我的客户没有/已经表示他们已超出其conform区域,无法运行任何进一步的命令,因此我现在有点不知道问题可能是什么,以及我应该如何继续
以下是AWS支持人员希望客户端运行的内容
1) 运行tcp数据包时使用HTTP和HTTPs进行curl输出
同时捕获。运行tcp数据包非常重要
首先捕获,然后执行测试:
旋度-Ikv
旋度-Ikv
旋度-Ikv
旋度-Ikv
要捕获数据包,请运行以下命令:
sudo tcpdump-n-vvv-s 65535-i任意-w GA.pcap
2) 您能否提供这些命令的输出:hping3-S-C50-P443-V GAIP1 hping3-S-C50-P443-V GAIP2 提前谢谢你的帮助 --编辑 将危地马拉列入受影响国家名单 受影响国家/地区名单 萨尔瓦多 哥斯达黎加 危地马拉
这个问题也发生在我身上。客户端无法完成tls握手。