填坑 | .NET 在Docker中訪問MSSQL報錯

1 SSL版本錯誤

最近在公司用.NET 5重構部分業務服務，由於之前老系統使用了MS SQL Server資料庫，因此本次重構也決定繼續使用。但是，在將.NET 5應用部署到Docker中通過Swagger測試時，卻報了以下一個錯誤：

Microsoft.Data.SqlClient.SqlException (0x80131904): 
A connection was successfully established with the server, 
but then an error occurred during the pre-login handshake. 
(provider: TCP Provider, error: 35 - An internal exception was caught)
 ---> System.Security.Authentication.AuthenticationException: Authentication failed, see inner exception.
 ---> Interop+OpenSsl+SslException: SSL Handshake failed with OpenSSL error - SSL_ERROR_SSL.

從字面意思來看，看不出來是啥，只能定位這一句 SSL_ERROR_SSL。搜尋一番，發現 在.NET Core/.NET 5的容器映象中的OpenSSL的最低協議版本要求為TLSv1.2，而我們的MS SQL Server所用的版本較低，不支援TLSv1.2只支援TLSv1 。

我們可以進入容器內部去驗證下：

# docker exec -it <docker-name> /bin/bash
# cat /etc/ssl/openssl.cnf


.......
[system_default_sect] 
MinProtocol = TLSv1.2 
CipherString = DEFAULT@SECLEVEL=2

因此，明確了問題，直接在容器內部更改一下：將TLSv1.2改為TLSv1即可

# docker exec -it <docker-name> /bin/bash
# vi /etc/ssl/openssl.cnf


.......
[system_default_sect] 
MinProtocol = TLSv1 
CipherString = [email protected]=2

更改完成後，再次訪問介面，就不會報錯了。

2 修改Dockerfile

上面的方法只是一個臨時方案，重新打映象執行又會恢復為TLSv1.2。因此，我們需要更改Dockerfile，讓其在源映象中就更改為TLSv1。

這裡以一個簡單的Dockerfile為例，只需要在微軟.NET 5映象源的層中增加一行指令即可：

RUN sed -i 's/TLSv1.2/TLSv1/g' /etc/ssl/openssl.cnf

完整Dockerfile示例：

FROM mcr.microsoft.com/dotnet/aspnet:5.0 AS base
WORKDIR /app
RUN sed -i 's/TLSv1.2/TLSv1/g' /etc/ssl/openssl.cnf
EXPOSE 80


FROM mcr.microsoft.com/dotnet/sdk:5.0 AS build
WORKDIR /src
COPY ["AuthCenter.API/AuthCenter.API.csproj", "AuthCenter.API/"]
RUN dotnet restore "AuthCenter.API/AuthCenter.API.csproj"
COPY . .
WORKDIR "/src/AuthCenter.API"
RUN dotnet build "AuthCenter.API.csproj" -c Release -o /app/build


FROM build AS publish
RUN dotnet publish "AuthCenter.API.csproj" -c Release -o /app/publish


FROM base AS final
WORKDIR /app
COPY --from=publish /app/publish .
ENTRYPOINT ["dotnet", "AuthCenter.API.dll"]

其他相關聯的OpenSSL錯誤：

Microsfot.Data.SqlClient.SqlException(0x80131904):
A connection was successfully established with the server, 
but then an error occurred during the pre-login handshake.
(provide:SSL Provider,error:31 - Encryption(ssl/tls) handshake failed)

這個錯誤和上面的error: 35類似，也是TLS協議版本較高，而SQL Server不支援。修改方法也是改為TLSv1，這裡需要注意的是，我發現網上很多文章都是建議改為TLSv1.0，也就是下面的指令：

RUN sed -i 's/TLSv1.2/TLSv1.0/g' /etc/ssl/openssl.cnf

對於網上大多數童鞋，上面的語句是適用的，但是也有一些和我一樣的，即使使用了上面的語句還不行。一番搜尋發現，需要改為TLSv1（即去掉小數點）才能工作。

3 關於TLS協議

TLS是在TCP傳輸層之上，應用層之下實現的網路安全方案。在TCP/IP四層網路模型中屬於應用層協議。TLS協議在兩個通訊應用程式之間提供資料保密性和資料完整性，另外還提供了連線身份可靠性方案。

UDP則使用DTLS協議實現安全傳輸，和TLS協議類似。

TLS協議的設計目的如下：

（1）加密安全：TLS應用於雙方之間建立安全連線，通過加密，簽名，資料摘要保障資訊保安。

（2 ） 互操作性：程式設計師在不清楚TLS協議的情況下，只要對端程式碼符合RFC標準的情況下都可以實現互操作。

（3 ） 可擴充套件性：在必要時可以通過擴充套件機制新增新的公鑰和機密方法，避免建立新協議。

（4 ） 相對效率：加密需要佔用大量CPU，尤其是公鑰操作。TLS協議握手完成後，通過對稱金鑰加密資料。TLS還集成了會話快取方案，減少需要從頭建立連線的情況。

TLS協議所處的位置如下所示：

更多關於TLS協議的介紹：

http://www.cnblogs.com/Jack-Blog/p/13170728.html

End 總結

在要求安全性越來越高的前提下，TLSv1.2被廣泛應用，為了適配MS SQL Server的低版本，可以選擇在Dockefile中降低TLS協議最低版本要求來解決問題。不過，這畢竟是一個不安全的方法，如果有條件，還是建議升級MS SQL Server所在伺服器的TLS配置，使其支援TLSv1.2。

年終總結： Edison的2020年終總結

數字化轉型： Edison的數字化轉型之旅總結

C#刷題： C#刷劍指Offer演算法題系列文章目錄

.NET面試： .NET開發面試知識體系八股文

.NET大會： 2020年中國.NET開發者大會PDF資料