使用TLS 1.2将客户端连接到TCP服务器

时间:2016-10-24 10:22:40

标签: c# .net ssl tcp netty

我正在努力将设备连接到.Net(4.5.2)服务器。它是由设备打开的TCP连接,使用TLS 1.2。

  • 在服务器端,我有一个TCP服务器的标准.Net实现:SslStream包裹DotNetty
  • 我无法更改设备上的任何内容

任何.Net客户端都可以使用安全的TLS连接成功连接到我的服务器。它在使用CURL时也正常工作,所以我认为我的TCP服务器工作正常。

所以我比较了(使用Wireshark)工作客户端发送的内容与无法连接的设备发送的内容。我发现的显着差异是客户端Hello TLS消息中Server Name Extension (SNI)的缺失(对于设备而言)。

我尝试的下一件事是使用Pcap.Net手动将数据发送到我的服务器,即使用原始字节数组手动发送TCP SYN / TCP ACK /客户端Hello消息(我得到的原始数据(感谢Wireshark)设备试图连接到我的服务器)。我确认通过添加服务器名称扩展来调整不工作的客户端Hello原始字节数组会导致我的TLS握手工作。

显然,我遇到了不包含SNI扩展的客户端和拒绝握手的服务器的问题,如果此信息不存在。

如何更改TCP服务器接受不提供服务器名称扩展的客户端的行为方式?是否有可能首先使用标准.Net SslStream类?

AFAIK,SNI扩展不是强制性的,由客户决定是否使用它,因此服务器理论上 接受没有它的客户端Hello消息。

任何指针都会非常感激。

1 个答案:

答案 0 :(得分:1)

.Net 4.5.2支持TLS1.2但默认情况下禁用。

要启用它,您必须明确定义安全协议集。

System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12 | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls;

有关详细信息,请参阅以下链接 https://msdn.microsoft.com/en-us/library/system.net.servicepointmanager.securityprotocol%28v=vs.110%29.aspx