#151 使用OpenSSL排查由防火墙和深度包检测(DPI)软件引起的连接问题

 CP × 23
 有用! × 0
 评论 × 0
 附加文件 × 0
  Acronis Backup 12.5 故障排查 Acronis Cyber Cloud  [公开]
icon张宏邦在 2020-4-22 下午6:16 编写 ( icon张宏邦在 2020-6-17 下午5:38 更新 <历史> )
  编辑(登录)
  收藏
  响应调查   响应调查

  主题

用例

  1. 您公司的网络具有严格的安全性要求,其中集成了防火墙或深层数据包检查软件,这些软件仅干扰加密的流量。在这种情况下,Acronis连接验证工具会报告网络连接是成功的,但备份却失败。一旦链中存在未知证书,Acronis存储将拒绝连接。
  2. 在MacOS上,还没有Acronis连接验证工具。 OpenSSL可以替代它。

关于OpenSSL

OpenSSL是一个免费软件工具,具有许多命令和可能的用途。在本文中,我们重点介绍其执行SSL握手并显示其收到的证书的能力。

可从http://wiki.overbyte.eu/wiki/index.php/ICSDownload#Download...获得适用于32位和64位Windows操作系统的OpenSSL。

在 MacOS 和 Linux 上,一般都是默认启用 OpenSSL 的。

用法

在受影响的计算机上,打开 Openssl.exe 所在的文件夹(cd "path_to_the_tool"),然后运行以下OpenSSL命令:
openssl s_client -showcerts -connect <address>:<port>
其中<address>是需要检查的地址。

当您检查与云存储的连接时,端口为44445
例如:openssl s_client -showcerts -connect baas-fes-eu.acronis.com:44445 -cert C:\ProgramData\Acronis\BackupAndRecovery\OnlineBackup\Default\cert.crt

证书路径是 Agent Cloud 证书所在的路径
(对于存储连接,请明确指定证书以模拟有效的连接尝试。)

当您检查与管理组件的连接时,端口为443和8443
例如: openssl s_client -showcerts -connect eu-cloud.acronis.com:8443
openssl s_client -showcerts -connect eu-cloud.acronis.com:443

此外,您可以将输出写入文件,例如:
openssl s_client -showcerts -connect baas-fes-eu.acronis.com:44445-cert C:\ProgramData\Acronis\BackupAndRecovery\OnlineBackup\Default\cert.crt > output3.txt

如果连接失败,则端口是完全关闭的,需要将其打开。

如果建立了连接,将返回证书链:

openssl.exe s_client -showcerts -connect us-cloud.acronis.com:443
CONNECTED(00000168)
depth=2 C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", CN = Go Daddy Root Certificate Authority - G2
verify error:num=19:self signed certificate in certificate chain
---
Certificate chain
 0 s:OU = Domain Control Validated, CN = *.acronis.com
   i:C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
-----BEGIN CERTIFICATE-----
MIIFLTCCBBWgAwIBAgIJAPghs/Ty/UwVMA0GCSqGSIb3DQEBCwUAMIG0MQswCQYD
<.....>
KYMFvd0OVQYeSFNQAlbLExryqZkWcHZlyjy3ypeO4Ojx
-----END CERTIFICATE-----
 1 s:C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", CN = Go Daddy Root Certificate Authority - G2
   i:C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", CN = Go Daddy Root Certificate Authority - G2
-----BEGIN CERTIFICATE-----
MIIDxTCCAq2gAwIBAgIBADANBgkqhkiG9w0BAQsFADCBgzELMAkGA1UEBhMCVVMx
<.....>
4uJEvlz36hz1
-----END CERTIFICATE-----
 2 s:C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
   i:C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", CN = Go Daddy Root Certificate Authority - G2
<.....>
---

在这种情况下,连接已成功建立。通过检查此部分可以看到:

Certificate chain
 0 s:OU = Domain Control Validated, CN = *.acronis.com
   i:C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2

如果出于某种原因,基于“中间人”原则注入了另一个证书,则该证书将在链中可见。在这种情况下,有必要将Acronis Backup Cloud进程端口、主机名和地址添加到所用软件的白名单中。

原文链接:https://kb.acronis.com/content/62641

 附加文件     - [0]

 添加评论