使用SniHandler确定客户端与Netty服务器协商的TLS版本

基础概念

SNI（Server Name Indication）是一种TLS/SSL扩展，允许客户端在握手过程中指定它希望连接的服务器主机名。这对于在同一IP地址上托管多个域名的服务器非常有用，因为它允许服务器为每个域名提供不同的证书。

Netty是一个高性能、异步事件驱动的网络应用框架，用于快速开发可维护的高性能协议服务器和客户端。

SniHandler的作用

SniHandler是Netty中的一个处理器，用于处理SNI事件。它允许你在TLS握手过程中获取客户端请求的主机名，并根据该主机名选择合适的SSL上下文（包括证书）。

类型

SniHandler主要有以下几种类型：

DefaultSniHandler：Netty提供的默认SniHandler，它会根据客户端请求的主机名选择合适的SSL上下文。
CustomSniHandler：自定义的SniHandler，你可以根据需要实现自己的逻辑来处理SNI事件。

应用场景

多域名服务器：在同一IP地址上托管多个域名的服务器，使用SniHandler可以根据客户端请求的主机名提供相应的证书。
动态证书选择：根据不同的客户端或请求类型，动态选择不同的证书进行TLS握手。

示例代码

以下是一个简单的示例，展示如何在Netty服务器中使用SniHandler来确定客户端与服务器协商的TLS版本：

import io.netty.bootstrap.ServerBootstrap;
import io.netty.channel.*;
import io.netty.channel.nio.NioEventLoopGroup;
import io.netty.channel.socket.SocketChannel;
import io.netty.channel.socket.nio.NioServerSocketChannel;
import io.netty.handler.ssl.SslContext;
import io.netty.handler.ssl.SslContextBuilder;
import io.netty.handler.ssl.SupportedCipherSuiteFilter;
import io.netty.handler.ssl.util.SelfSignedCertificate;

public class TlsServer {

    static final int PORT = Integer.parseInt(System.getProperty("port", "8443"));

    public static void main(String[] args) throws Exception {
        SelfSignedCertificate ssc = new SelfSignedCertificate();
        SslContext sslCtx = SslContextBuilder.forServer(ssc.certificate(), ssc.privateKey())
                .ciphers("TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", SupportedCipherSuiteFilter.INSTANCE)
                .build();

        EventLoopGroup bossGroup = new NioEventLoopGroup(1);
        EventLoopGroup workerGroup = new NioEventLoopGroup();
        try {
            ServerBootstrap b = new ServerBootstrap();
            b.group(bossGroup, workerGroup)
             .channel(NioServerSocketChannel.class)
             .childHandler(new ChannelInitializer<SocketChannel>() {
                 @Override
                 public void initChannel(SocketChannel ch) throws Exception {
                     ChannelPipeline p = ch.pipeline();
                     p.addLast(sslCtx.newHandler(ch.alloc()));
                     p.addLast(new SniHandler());
                     p.addLast(new SimpleChannelInboundHandler<TlsHandshakeCompletionEvent>() {
                         @Override
                         protected void channelRead0(ChannelHandlerContext ctx, TlsHandshakeCompletionEvent msg) throws Exception {
                             System.out.println("TLS version: " + msg.sslSession().cipherSuite());
                             ctx.fireChannelRead(msg);
                         }
                     });
                 }
             });

            ChannelFuture f = b.bind(PORT).sync();
            f.channel().closeFuture().sync();
        } finally {
            bossGroup.shutdownGracefully();
            workerGroup.shutdownGracefully();
        }
    }

    static class SniHandler extends ChannelInboundHandlerAdapter {
        @Override
        public void userEventTriggered(ChannelHandlerContext ctx, Object evt) throws Exception {
            if (evt instanceof SniEvent) {
                SniEvent sniEvent = (SniEvent) evt;
                System.out.println("Client requested hostname: " + sniEvent.hostname());
                // 根据hostname选择合适的SSL上下文
            }
            super.userEventTriggered(ctx, evt);
        }
    }
}

参考链接

Netty官方文档

常见问题及解决方法

SNI事件未触发：
- 确保客户端支持并启用了SNI。
- 确保服务器端的SSL上下文配置正确。

无法选择合适的SSL上下文：
- 确保在SniHandler中正确处理了客户端请求的主机名，并根据主机名选择合适的SSL上下文。
TLS版本不匹配：
- 确保服务器和客户端支持的TLS版本一致。
- 在SslContextBuilder中配置支持的TLS版本。

通过以上步骤和示例代码，你应该能够成功使用SniHandler来确定客户端与Netty服务器协商的TLS版本，并处理相关的常见问题。

使用SniHandler确定客户端与Netty服务器协商的TLS版本

、

我目前在Netty服务器上工作，正在开发SniHandler。我想在会话中记录协商的TLS版本，但在SniHandler或SniHandler.SslContext中找不到此信息。我试图从SniHandler访问SslHandler，但我不知道SniHandler是如何启动的，如下所示： p.addLast("sniHandler", new

浏览 66提问于2021-08-16得票数 0

回答已采纳

1回答

确定客户端与netty服务器协商哪个TLS版本。

、

我用的是网络服务器。我不想为客户强制执行特定的TLS版本，但我想知道每个传入的服务器连接都协商哪个TLS版本。我找不到任何方法从ssl握手完成事件中确定这一点，也找不到从处理程序提取它的任何其他方法。我不知道怎么能从谢谢!

浏览 5提问于2021-06-29得票数 0

1回答

我们正在编写一个应用程序，它必须使用HTTPS与一些服务器进行通信。它需要与AWS (使用AWS库)以及一些使用TLS 1.2的内部服务进行通信。首先，我将HttpClient更改为使用TLS 1.2 SSLContext： public static SchemeRegistry buildSchemeRegistry() throws ExceptionAWS不支持TLS1.2(如果我只使用普通

浏览 3提问于2013-08-14得票数 5

1回答

TLS 1.2证书向后兼容吗？

、、

我有一个绑定到TLS v1.2证书的站点。那些只支持TLS1.0或1.1的客户端还能通过端口443与我的站点通信吗？也就是说，如果web服务器确定给定的客户端无法协商TLS 1.2，那么web服务器会下降到TLS 1.0或1.1吗？TLS v1.2证书是否能够容纳TLS 1.0和/或TLS</

浏览 0提问于2018-01-30得票数 3

回答已采纳

1回答

何时需要将“协商客户证书”设置为“已启用”？

、、、、

我可以选择支持客户端证书。这就是我在IIS上将Client certificates设置为Accept的原因。这在大多数机器上都能用。但是，在某些计算机上，IIS返回500。虽然(启用)这个设置听起来是合理的，仅仅从名称上看，我不明白为什么在某些机器上需要它，而在另一些机器上则不需要。

浏览 1提问于2018-02-28得票数 8

1回答

OkHttpClient如何通过http2与不支持ALPN的服务器建立TLS连接？

、、、、

我使用的是OkHttpClient 3.14.9。我需要使用TLSv1.3和http2协议建立连接。问题是服务器不支持ALPN (OkHttpClient使用此扩展与服务器建立要使用哪个版本的http协议)。 服务器端http1.1被禁用，仅启用http2。客户端无法成功建立连接。当服务器启用http1.1时，我的客户端通过ht

浏览 27提问于2022-01-25得票数 1

1回答

为什么TLS不签密匙？

、

TLS协商密件和TLS版本，以便在握手时使用。它证实握手没有被篡改，加密套件和TLS版本也没有使用协商密码被降级，正如解释的这里。但是，此验证依赖于在握手时协商的密码，因此如果攻击者选择的密码足够弱到足以迅速破坏，他可能也能够发送这些确认消息。我的问题是，为什么服务器不使用它的私钥来签署它<e

浏览 0提问于2018-04-27得票数 2

1回答

如果服务器不支持所使用的协议，JSSE是否实现回退？

、、、

我只是在java中收集一些关于SSL/TSL的信息，因为我们使用的是netty，甚至不知道我们目前使用的是什么TLS协议。我们的应用程序运行在Java7上，因此默认情况下，SSLSocket将与TLS1一起运行，而SSL3甚至不会被激活。我现在知道了。假设我的客户端运行在Java8上(默认使用TLS1.2)，目标服务器只支持TL

浏览 0提问于2017-06-15得票数 0

回答已采纳

2回答

Netty支持哪个TLS版本？TLS 1.0、1.1还是1.2？

Netty支持哪个TLS版本？TLS 1.0、1.1还是1.2？我查看了，但它没有说明具体是哪个版本。

浏览 7提问于2014-12-03得票数 2

3回答

如何确定Spring /2是否使用WebClient？

、、、

我想知道Spring /2是否在使用WebClient /2，如何确定这一点？

浏览 10提问于2019-12-21得票数 9

回答已采纳

1回答

亚马逊网络服务iOS软件开发工具包TLS支持

、、、、

相关问题：我也刚刚收到一个通知，亚马逊正在弃用SSLv3，我需要修改我的请求才能使用TLS。这是一个仍然使用亚马逊iOS SDK1.7版本的较旧的iOS应用程序。这基本上只是访问用于上传和下载图像的S3存储桶。现在，这通常已经由库处理了，还是我必须更新到v2库，从而放弃对iOS 6的支持。

浏览 0提问于2015-04-24得票数 2

1回答

当我们将信任管理器与trustCertCollectionFile一起使用时，Netty跳过主机名验证

、、、

我使用的是io netty版本4.1.19 using 我正在尝试设置一个客户端，该客户端将使用TLS连接到服务器。我希望netty在接收TLS证书时执行主机名验证，但它看起来像是因为我使用的是使用TLS信任文件路径的自定义trustManager，netty完全跳过了主机名验证。有没有办法<

浏览 6提问于2018-02-06得票数 1

回答已采纳

2回答

如何阻止http客户端进行TLS重新协商？

、

我正在尝试连接到想要执行一些TLS重新协商的服务器，但是当前的Go TLS客户端不支持重新协商。有没有办法迫使它不再重新协商？我尝试过将最小/最大版本设置为TLS1.2，并将PreferServerCipherSuites设置为true，但仍然没有成功。谢谢。

浏览 0提问于2016-06-10得票数 3

1回答

访问特定网站总是会出现403个禁止错误

我试图阅读网站与印第，并始终得到一个403。这个网站似乎只加载时，我把ssl版本为sslvTLSv1_1。如果我这样做，这个网站加载很好，但其他网站没有。大多数人似乎使用sslvTLSv1_2。只要我只向use版本添加sslvTLSv1_1，它就能工作，但是当我添加sslvTLSv1_1、sslvTLSv1_2时，所提到的站点不再加载(同样是403)，但是任何其他站点都会加载。我的问题是:我如何确定一个网站需要什么How版本？我是否需要尝试使用

浏览 4提问于2021-12-03得票数 0

回答已采纳

1回答

SSL和TLS版本控制

关于SSL和TLS安全性，是否可以在服务器上运行每个协议的多个版本？如果是这样的话，我假设您必须告诉应用程序使用哪种协议，因为安装了多个版本。如果没有，对于类似的环境有哪些选择？示例:服务器1上有TLS 1.0、1.1和1.2。

浏览 3提问于2016-07-05得票数 0

回答已采纳

3回答

TLS中MACing的顺序和加密

、

我一直在研究TLS1.0是如何工作的，并且认为我已经基本理解了其中的大部分。有一件事，我似乎找不到解释，虽然是顺序的MACing和加密应该发生。假设我们已经收到客户的留言了。您可以从主机密、完成的标签和握手消息的md5/sha1 1散列生成12个字节的verify_data。在这一点上，你是否：b-><e

浏览 0提问于2015-08-10得票数 6

回答已采纳

1回答

绕过apache，转而使用tomcat

、

我不希望我的客户端与Apache服务器协商SSL连接，我希望他们与背后的tomcat服务器进行协商。我怎样才能做到呢？我当前的httpd.conf配置是：SSLProxyEngine OnProxyPassReverseIDEA SSLCertificateFile

浏览 0提问于2015-12-31得票数 1

回答已采纳

1回答

如何直接启动纯文本http2通信？

我使用的是netty客户端，我确定服务器支持http/2。我可以直接发起一个纯文本的http/2请求吗？我不想发送一个http/1.1请求，然后升级到具有101返回码的http/2。

浏览 0提问于2017-09-26得票数 2

1回答

WCF NetTcpBinding与TransferMode.Streamed不工作在Windows 2019与TLS1.2和SslProtocols.None对WCF绑定

、、、

我们有一个WCF客户端和服务器，它们通过WCF NetTcpBinding与流传输模式进行通信，其中客户端使用以下相关设置设置WCF NetTcpBInding： TransferMode = TransferMode.Streamed这是使用Windows注册表配置的，并将SSL2.0、SSL3.0nTL1.0和TLS1.1的所有服务器和客户端密钥设置为禁用，并仅在HKEY_LOCAL_MACHI

浏览 4提问于2019-11-18得票数 0

1回答

在只支持TLS_FALLBACK_SCSV的服务器上使用TLSv1.2阻止来自客户端的连接

我已经阅读了与TLS_FALLBACK_SCSV相关的RFC草案，并了解到，如果客户机和服务器都实现了此特性，并且客户端将此功能作为clienthello的一部分发送，则如果服务器的TLS版本高于客户机版本，则服务器必须拒绝连接。但是，当clienthello包含比服务器支持的版本更高的TLS

浏览 0提问于2015-08-20得票数 2

回答已采纳

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

使用SniHandler确定客户端与Netty服务器协商的TLS版本

基础概念

SniHandler的作用

类型

应用场景

示例代码

参考链接

常见问题及解决方法

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐