国产化之银河麒麟.netcore3.1访问https服务的两个问题

背景

某个项目需要实现基础软件全部国产化，其中操作系统指定银河麒麟，数据库使用达梦V8，CPU平台的范围包括x64、龙芯、飞腾、鲲鹏等。

考虑到这些基础产品对.NETCore的支持，最终选择了3.1版本。主要原因就是龙芯搞了自研CPU架构，用户量不够大，.NET官方并没有专门针对龙芯的支持，而龙芯团队只对.netcore3.1做了适配（目前.net6适配测试中），至于其它的国产CPU则是基于Arm64和x64的，.NET官方都有支持。

环境

• 主机操作系统：Windows 10
• 虚拟化工具：QEMU
• 虚拟机CPU：cortex-a53（ARMv8架构，支持Arm64）
• 虚拟机操作系统：银河麒麟 v4 （未安装桌面）

问题

问题一：无法验证xxx的由yyy颁发的证书

这个错误是在开发环境出现的，通过wget请求https服务时抛出异常：

具体错误提示如图所示，使用HttpClient发起请求一样会报错，这是因为安装的操作系统没有自带根CA证书。安装 ca-certificates 就可以解决：

sudo apt-get install -y ca-certificates

至于错误信息中的建议：使用"--no-check-certificate"。使用https就是为了安全，直接无视就好了。

问题二：The SSL connnection could not be established

这个错误是在生产环境出现的，已经排除第一个问题。

错误的关键词还有：AuthenticationException: The remote cert is invalid according to the validation procedure. 简单点说就是：被访问服务的证书无效。

这里先贴出解决方案，一会再说原因。增加一个环境变量：

export DOTNET_SYSTEM_NET_HTTP_USESOCKETSHTTPHANDLER = 0

建议还是把它写到 /etc/profile 中，然后用 source /etc/profile 生效。

下面来分析下这个问题产生的原因：

在微软的官方文档中可以找到关于这个配置的说明：

https://docs.microsoft.com/en-us/dotnet/api/system.net.http.socketshttphandler?view=net-6.0

https://docs.microsoft.com/zh-cn/dotnet/core/runtime-config/networking

大概就是说.NET Core 2.1之后，HttpClient内部默认使用新写的SocketsHttpHandler，但是也允许切换到之前的旧Handler，在Linux上之前使用的是CurlHandler，从这个名字上看应该是使用了libcurl这个库，这个库使用C语言写的，.NET调用的时候会有一点性能损失，所以后来.NET抛弃了libcurl，自己实现了Http网络栈的处理，也就是SocketsHttpHandler。通过设置环境变量，将Http网络栈的处理回退到了CurlHandler。

那么为什么CurlHandler可以，SocketsHttpHandler却不行呢？

在dotnet的github仓库中有一些关于这个错误的issue：

https://github.com/dotnet/runtime/issues/26494

https://github.com/dotnet/runtime/issues/35880

我这里总结核心问题就是SocketsHttpHandler验证证书域名的问题，证书的域名中大小写混合、包含下划线、使用通配符等等会导致异常，有些问题可以通过修复SocketsHttpHandler解决，有些问题是因为依赖了OpenSSL，比如OpenSSL认为域名不应该包含下划线，.NET这边遇到此类的域名就会报错，.NET也不会主动去解决。另外文中还提到旧版本的OpenSSL是没问题的，新版本的OpenSSL才这样，因为开发者认为新版本的做法更规范。.NETCore依赖的OpenSSL版本可以在这里找到：https://docs.microsoft.com/zh-cn/dotnet/core/install/linux-ubuntu#dependenciesDocs

至于我遇到的是哪个问题，因为在本地环境没有遇到这个问题，生产环境是别人去维护的，上线后也不方便去搞，所以暂时无法定位到具体原因。猜想可能有两个原因：生产环境的OpenSSL相关库版本比较新，而开发环境的OpenSSL库版本比较旧；生产环境用到的证书域名不规范，测试环境用到的证书域名规范。

还有为什么使用了CurlHandler就没有问题呢？因为我这里的curl没有依赖openssl，在银河麒麟v4中，curl依赖的是gnutls（SSL support is provided by GnuTLS.），如果已经安装了curl可以使用这个命令看它依赖的包：apt-cache depends curl 我这里显示的是：

curl
  依赖: libc6
  依赖: libcurl3-gnutls
  依赖: zlib1g

如果没有安装curl，可以看看libcurl3-gnutls这个包是否存在：dpkg -s libcurl3-gnutls，如果存在这个包，则会显示它的详细信息。

最后如果你想知道自己遇到了什么错误，可以通过下边的代码来获取：

var httpClientHandler = new HttpClientHandler();
httpClientHandler.ServerCertificateCustomValidationCallback = (message, cert, chain, errors) => {
    if (errors == SslPolicyErrors.None)
    {
        return true;
    }

    // todo: 在这里输出errors到日志

    throw new AuthenticationException($"Ssl certificate validation failed when trying to connect to {message.RequestUri}, Error: {errors}.");
}

var client = new HttpClient(httpClientHandler);

---

以上就是本文的主要内容了，如有问题，欢迎反馈。

收获更多架构知识，请关注微信公众号 萤火架构。原创内容，转载请注明出处。