一、背景
近期项目中遇到一个特殊场景:服务端要求以 SSL/TLS 方式进行连接,但由于特殊原因,客户端不支持 SSL/TLS,而且服务端与客户端都无法调整。
二、思路
在客户端本地安装网络工具,提供普通 TCP 监听,客户端连接指向这个普通 TCP。网络工具以 SSL/TLS 方式连接服务,并转发收到的内容。
三、工具及使用方法
以 HTTPS 服务举例:
服务端:example.com:443
正常访问方式:https://example.com
客户端监听的新端口:12345
1、Ncat
ncat -klp 12345 -c 'ncat example.com 443 --ssl --ssl-servername example.com'
参数说明:
| 参数 | 说明 |
|---|---|
-klp 12345 |
本地以普通 TCP 形式监听 12345 端口,并始终保持监听状态。 |
-c 'ncat example.com 443 --ssl --ssl-servername example.com' |
与 example.com:443 建立 SSL/TLS 连接。 |
连接服务命令的说明:
ncat example.com 443 --ssl --ssl-servername example.com
参数说明:
| 参数 | 说明 |
|---|---|
example.com 443 |
连接 example.com:443 服务。 |
--ssl |
以 SSL/TLS 方式连接。 |
--ssl-servername example.com |
解决 SNI 问题,指定域名。 |
2、socat
socat TCP-LISTEN:12345,fork,reuseaddr SSL:example.com:443,verify=0
参数说明:
| 参数 | 说明 |
|---|---|
TCP-LISTEN:12345,fork,reuseaddr |
监听相关参数:监听 12345 端口;开启子线程处理新连接;可重用地址 |
SSL:example.com:443,verify=0 |
连接相关参数:与 example.com:443 建立 SSL/TLS 连接;不域名与证书的匹配性校验 |
这里有几点特别说明一下:
verify
verify 用于校验 SSL/TLS 证书所访问目标域名是否匹配。这个例子中由于使用域名,所以不受影响。如果通过 IP 访问一个 SSL/TLS 的服务,是无法通过校验(由客户端进行校验)的。所以要避免这个检查,就需要指定 verify=0。
-
SNI(Server Name Indication)
- 使用
socat没有像使用Ncat那样通过--ssl-servername example.com指定 SNI。socat会自动指定 SNI。 - 通过
no-sni[=<bool>]指定是否启用 SNI - 通过
snihost=<string>指定 SNI
- 使用
3、客户端访问方式
端口转发创建成功后,需要按如下规则进行访问:
curl http://localhost:12345 -H 'Host: mobile.mochasoft.com.cn'
这说明两点:
(1)端口转发建立成功后,可以把 SSL/TLS 连接降级为普通 TCP
(2)连接可以降级成功,但要确保连接中传输的内容与原来保持一致,两端才能正常工作
四、注意事项
这种方案虽然在技术上能够解决现有问题,但并不意味着是理想方案。不管从性能和安全性方面,都有待充分考量。所以只适合应急场景,并不适合长期在生产环境作为标准方案使用。
在现在这个阶段,还是应该对自己的系统和组件升级,确保对 SSL/TLS 有良好的支持,以确保安全性。
(完)
