是否是缺失了 X509v3 CRL Distribution Points?
github 有类似issue:
我已经按照要求添加了 X509v3 CRL Distribution Points 之后,根本就连接不上了。
下面是日志
emqx.log.3.zip (66.9 KB)
zhuwei
44
看着是EMQX在等cert的时候收到了alert record,client是什么库实现的?
是否能提供tcpdump trace?
这个问题搞了很久了,都没有处理完成。。我这边可以开远程,如果方便的话,能否远程帮我看一下?
emqx8883.zip (53.5 KB)
dump已抓包,请查收
zhuwei
48
谢谢,但是提供的tcpdump 包我无法解密来查看具体消息。 因为tcpdump包没有注入SSL session key.
根据之前的log,EMQX 在与客户端握手完成时收到:
{ssl_tls, 21, {3,3},<<2,51>>}
带上注释后是
{ssl_tls, 21, %% ALERT
{3,3}, %% TLS version
<<2, %% fatal
51 %% decrypt_error
>>}
这个是client 主动发TLS alert 断开TLS 连接。请在 client 端排错。
参考:
https://www.rfc-editor.org/rfc/rfc8446#appendix-B.2
我把listener.ssl.external.enable_crl_check 改为true,就报错了
设置为flase 就没有问题。。。
你那边能不能把问题定位的更准确些?