惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Simon Willison's Weblog
Simon Willison's Weblog
T
Troy Hunt's Blog
L
Lohrmann on Cybersecurity
S
Schneier on Security
Spread Privacy
Spread Privacy
WordPress大学
WordPress大学
阮一峰的网络日志
阮一峰的网络日志
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
G
GRAHAM CLULEY
博客园 - 【当耐特】
有赞技术团队
有赞技术团队
SecWiki News
SecWiki News
博客园 - 叶小钗
博客园 - Franky
V
Vulnerabilities – Threatpost
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
O
OpenAI News
小众软件
小众软件
V
V2EX
N
News and Events Feed by Topic
T
The Exploit Database - CXSecurity.com
博客园 - 三生石上(FineUI控件)
The Hacker News
The Hacker News
Project Zero
Project Zero
The Last Watchdog
The Last Watchdog
雷峰网
雷峰网
Google Online Security Blog
Google Online Security Blog
T
Tailwind CSS Blog
C
Cyber Attacks, Cyber Crime and Cyber Security
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
量子位
D
Docker
Recent Announcements
Recent Announcements
T
Threat Research - Cisco Blogs
P
Privacy International News Feed
爱范儿
爱范儿
PCI Perspectives
PCI Perspectives
Jina AI
Jina AI
博客园 - 司徒正美
云风的 BLOG
云风的 BLOG
大猫的无限游戏
大猫的无限游戏
V2EX - 技术
V2EX - 技术
H
Hackread – Cybersecurity News, Data Breaches, AI and More
The Register - Security
The Register - Security
T
The Blog of Author Tim Ferriss
博客园 - 聂微东
Cloudbric
Cloudbric
S
Security Affairs
F
Fortinet All Blogs

博客园_首页

Plist 二进制格式 Milvus 和 PGVector,哪个更好? OpenClaw 已过时?在 VS Code 中运行 Hermes Agent! 第30篇文章:一个大三计科生的自白 Manim如何在数学公式中完美显示中文? Docker 部署 RocketMQ 5 并发编程核心概念辨析 C#事务处理最佳实践:别再让“主表存了、明细丢了”的破事发生 CLI 是什么?为什么大厂突然集体卷命令行? 【从0到1构建一个ClaudeAgent】协作-自主Agent UIImageView 设置图片不生效的原因排查 最小二乘问题详解20:无先验约束下的增量式SFM自由网平差 痞子衡嵌入式:大话双核i.MXRT1180之XIP应用里借助MU实现可靠Flash IAP的方法 AI Chat 封装, SemanticKerne.AiProvider.Unified 已发布 Windows下右键编辑js文件无法打开记事本——在注册表中使用环境变量 在后台服务中使用 Scoped 服务,为什么总是报错? H200 安装驱动并使用sglang启动模型 wireshark 抓包Trap上报告警内容 我用 AI 辅助开发了一系列小工具(2):图片压缩工具 [A Primer On MC and CC] 2.1 Memory Consistency 1 - 指令重排序和 SC 模型 Oracle数据库SCN推进技术详解与实践指南 玩转控件:封装个带图片的Label控件 Claude Code 4.7 真正该升级的不是模型,而是你的工作流 前端小白一句话,AI 帮我做了个颜值拉满的桌面媒体播放器。当代码不再是门槛,一句话编程就是现实。 5. WorkBuddy: 小龙虾的灵魂三件套,让你的小龙虾不只是工具 SQLite 分片方案实战:三种分片策略的深度对比 告别简陋 UI!一款基于 Fluent Design 和基于 WinUI 的开源免费、现代化的 Avalonia UI 控件库 关于二进制排列组合枚举的总结 AI开发-python-LangGraph框架(3-27-LangGraph从零实现大模型智能决策工作流) ElasticSearch主分片和副本分片概念详解 【002】HTTPS 粗解:证书、TLS 握手与对后端配置的影响 Hermes Agent 一周暴涨五万 Star,但我劝你别急着追 明明连接的是Redis的DB0,为什么能查到DB3的数据? 【从0到1构建一个ClaudeAgent】协作-Agent团队 熟悉电子元器件之后,电子小白下一步该怎么走? MAF快速入门(23)通过C#类定义Skills .NET 高级开发 | 手写一个对象映射框架 FastAPI数据库ORM怎么选?我肝了三个Demo后,终于不再纠结了 mysqldump 参数拾遗:在遗忘与铭记之间 C# .NET 周刊|2026年3月5期 Claude code入门 - 陈彦斌 一文学习入门 ThingsBoard 开源物联网平台 GitHub 热门项目 | 2026年04月16日 如何为GIT设置全局勾子,为每次提交追加信息 Number.isFinite和isFinite与isNaN()和Number.isNaN的区别 PortSwigger SQL注入LAB2 推荐一个测试人必备的Skills,从功能到性能全搞定(附详细实操和安装下载方式) 筑基期:掌握Odoo基础核心知识点02(Odoo XML 开发方式详解) GLM模型这么火,咱们用vllm也咧一个呗! 深入理解 AbortController:从底层原理到跨语言设计哲学 字符串学习笔记 多租户系统框架的基础模块设计和分析设计 Apache SeaTunnel Zeta 为什么能做到“又快又稳”? AI开发-python-LangGraph框架(3-26-LangGraph基本概念及第一个简单样例) Vue 3 组件通信,别只会用 Props 和 Emits 了,这几个狠活儿你得看看 ElasticSearch7.X版本配置密码 用Manim实现动态交点计算--从一个动点问题说起 团结引擎+Addressable+Instant Game打包抖音小游戏 function call 实战:让 LLM 自动判断 pod 异常、调用日志工具并完成故障分析 bubseek —— 让 Agent 的足迹,变成团队的洞察 通过 C# 读取并导出 PDF 书签 如何用 GitHub Actions 实现 Steam 自动化发布 【从0到1构建一个ClaudeAgent】并发-后台任务 .NET 高级开发 | 定制 ASP.NET Core 框架 电子小白:什么是运算放大器(运放) zero2Agent:面向大厂面试的 Agent 工程教程,从概念到生产的完整学习路线 堆上的ORW HC32F460 USB CDC通信异常:非对齐访问异常排查 20260413-Hyperbridge 攻击事件:发生在默克尔山上的验证绕过 那些喊着AI 要淘汰你的人,正在靠你的焦虑赚大钱! 深度学习进阶(八)Swin Transformer 最小二乘问题详解19:带先验约束的增量式SFM优化与实现 SnapTranslate 3.0 正式发布:全局划词翻译 + 完整英语学习闭环,一站式搞定查词、记词、复习 工作的意义、工作的困难认知再思考 .NET + AI 进阶实战:基于类的技能开发 - 打造可治理的 Agent 能力模块 【从0到1构建一个ClaudeAgent】规划与协调-技能 上周热点回顾(4.6-4.12) 电子小白的工具三件套:面包板、杜邦线、万能板 单表五亿数据的查询优化 | Mysql、StarRocks 2. WorkBuddy:从“我是谁”到“帮我干活” C# 如何减少代码运行时间:7 个实战技巧 基于HelixToolkit.SharpDX 渲染3D模型 - 笺上知微 从零开始的双臂具身VLA起源及现阶段发展综述 - SkyXZ 记对 xonsh shell 的使用, 脚本编写, 迁移及调优 - pluvium27 受够了Vibe Coding的失控?换个起点,让AI事半功倍 从开始配置漏洞环境到漏洞复现流程 - 難しい 关于10年工作经验的程序员对OpenClaw的实战经验分享以及看法 - 虚无境 Any metadata 的内存布局 C# .NET 周刊|2026年3月2期 - InCerry 我帮你测过了,测试圈排名第二的 Skill 依然很牛逼 Skill Discovery | 无监督技能发现的经典工作总结 - MoonOut 上下文工程是什么?过时了么?一文讲明白! - 一枫说码 开了 TUN 模式还是直连?90% 的人都踩过这个坑 AScript扩展多种脚本语言 - rockey627 AI 学习笔记:Agent 的记忆机制 你能被装进一个文件里吗?——7 万人把同事"蒸馏"成了 AI - 我没有三颗心脏 Claude Code 通关手册(七):给 AI 装上技能包——Skills 完全指南 - 暮色之狐 在浏览器中快速编辑代码:VSCode Web 集成实践 - Newbe36524 蒸馏自己 skill?基于 Deepseek 的蒸馏器,丐版蒸馏方式,简单便捷 - To_Carpe_Diem Spring AI Aliababa和AgentScope,哪个更好? - 苏三说技术
kestrel 的 ssl 行为分析
jiulang · 2026-06-16 · via 博客园_首页

前言

我有个项目使用了 CYarp,相当于把 kestrel 做了对外的网关,最近给他更新 ssl 证书时,浏览器访问服务是正常的,但客户端设备的连接时炸了,表现为无法信任服务器证书。同时我发现,这个 ssl 证书放到 nginx 上,客户端设备的连接又是完全正常的,当然 kestrel 和 nginx 是同样的 linux-x64 环境。

问题定位

我找来一台老的 centos 做客户端,使用 curl 来请求到 kestrel 的接口,也得到了服务器证书验证不通过的问题,然后使用 openssl 客户端来获取 kestrel 和 nginx 返回的证书链做对比:

openssl s_client -connect xxx.com:443 -showcerts

发现 nginx 返回的证书链和证书文件提供的证书链是吻合的,但 kestrel 返回的证书链短了一节,这个发现惊呆了我,因为我潜意识里都认为在 linux 上 kestrel 会完使用用户自定义指定的证书链。

老的 ssl 证书还有20天的时长,这个给我有足够长的时间来分析 kestrel 的 ssl 行为了。

分析 ServerCertificateChain

先提供结论:kestrel 目前只能读取到 Endpoint 下配置的 pem 格式证书文件的证书链,其它三种情况都有BUG。

证书配置位置 证书文件类型 证书链读取
Endpoint PEM
Endpoint Pfx ×
Default PEM ×
Default Pfx ×

遇到问题不要慌,先 AI 分析一波,AI 告诉要设置 ServerCertificateChain

builder.WebHost.ConfigureKestrel(kestrel =>
{
    kestrel.ConfigureHttpsDefaults(https =>
    { 
        https.ServerCertificateChain = 自己实现从证书文件读取;
    });
});

我有点想怼 AI,kestrel 不可能不读取证书文件的证书链,于是我加了行 ServerCertificateChain 不为 null 的断言,同时在配置文件的默认证书了放了 ssl 证书:

builder.WebHost.ConfigureKestrel(kestrel =>
{
    kestrel.ConfigureHttpsDefaults(https =>
    { 
        https.OnAuthenticate = (context, options) =>
        {
            Debug.Assert(https.ServerCertificateChain is not null);
        };
    });
});
{
  "Kestrel": {
    "Endpoints": {
      "Https": {
        "Url": "https://*:443"       
    },
    "Certificates": {
      "Default": {
        "Path": "certs/test_bundle.crt",
        "KeyPath": "certs/test.key"
      }
    }
  }
}

结果还真炸起来了,Debug.Assert 断言不通过!
这泥马 https.ServerCertificateChain 为 null,证书链短一节我一点都不觉得荒唐了,但为什么为 null 呢,我翻了 ASP.NET core 的 issues,找到25年3月报告的一个问题:Kestrel inconsistent certificate chain handling between endpoint and default configuration,描述的是证书放到 Default 节点后,表现为和放到 Endpoint(Https) 节点不一样,我们现在把配置文件改成如下:

{
  "Kestrel": {
    "Endpoints": {
      "Https": {
        "Url": "https://*:443",
        "Certificate": {
            "Path": "certs/test_bundle.crt",
            "KeyPath": "certs/test.key"
        }
      }  
    }
  }
}

现在能读取到 ServerCertificateChain,看来AI说得没错,https.ServerCertificateChain = 自己实现从证书文件读取,可以弥补 Default 证书不读取证书链的问题,假设我们手动设置了 ServerCertificateChain,证书也是配置在Endpoint下,最终保留的来源于哪里的证书链呢?做了以下实验后,发现是证书文件的证书链优先。

builder.WebHost.ConfigureKestrel(kestrel =>
{
    kestrel.ConfigureHttpsDefaults(https =>
    { 
        // 手动设置 ServerCertificateChain
        https.ServerCertificateChain = [];
        https.OnAuthenticate = (context, options) =>
        {
            // 断言成立,如果能读取到证书文件的证书链,手动设置的 ServerCertificateChain 会被覆盖
            Debug.Assert(https.ServerCertificateChain is not null && https.ServerCertificateChain.Count > 0);
        };
    });
});

我把证书格式改成带证书链的 pfx,配置在 Endpoint 节下,发现 kestrel 读取到的证书链不为 null ,但总是 0 个元素,翻看最新的源码,看到 kestrel 目前只简单粗暴的通过 X509Certificate2Collection.ImportFromPemFile()) 来读取证书链,对于 pfx 格式,这肯定 import 不到内容哈。

使用 ServerCertificateChain

经过上述深入的分析,只要我们使用 PEM 格式的证书文件,并且配置在 Endpoint 节下,那么 kestrel 就能使用上证书文件里提供的中间证书,最后生成和 nginx 一样的证书链。

我迫不及待地搭建了一个测试服务器,用上和 nginx 一样的 PEM 证书,满怀信心地使用 openssl 客户端来验证,可我发现还是验证不通过!

我确定 kestrel 已经从 PEM 证书文件里原封地读取到了证书链且设置了 https.ServerCertificateChain,但在 tls 握手时,服务器响应的证书链变短了。

翻看了 HttpsConnectionMiddleware 源码,发现 serverCertificateContext 的构建方式是依赖于系统证书 store,https.ServerCertificateChain 只不过是其构建过程中可能用到的辅料罢了,或者说几乎所有服务器操作系统环境,https.ServerCertificateChain 有值或为 null ,生成的 serverCertificateContext 一般都不会有差异。

我们通过自定义生成 ServerCertificateContext 并应用到 kestrel,最终发现生成的证书链和 nginx 的完全一样,在客户端设备上进行 https 连接成功。

builder.WebHost.ConfigureKestrel(kestrel =>
{
    kestrel.ConfigureHttpsDefaults(https =>
    {
        https.OnAuthenticate = (context, options) =>
        {
            var chain = https.ServerCertificateChain;
            Debug.Assert(chain is not null && chain.Count > 0);

            // ServerCertificateContext 要缓存,不能每次 OnAuthenticate 都创建新的 ServerCertificateContext,否则性能会非常差。
            var serverCertificate = options.ServerCertificate as X509Certificate2;
            var trust = SslCertificateTrust.CreateForX509Collection(chain);
            options.ServerCertificateContext = SslStreamCertificateContext.Create(serverCertificate!, chain, false, trust);
        };
    });
});

通用避坑方案

我想实现一个避坑库,让使用者加一行代码,就能避开 kestrel 的上述行为,而开发者的项目的证书文件类型能继续保留为 pfx 格式,也允许只配置默认证书为所有 https Endpoint 共享,同时要求这个库不能影响到开发者既有的 https 配置委托代码或 Endpoint 配置委托代码的执行,也不能让 https tls握手时的性能不可接受的下降。

我做了很久的构思,在实现上推倒了又重来多次,终于实现了一个相对高效的 OnAuthenticate 实现,最终让 kestrel 的证书链结果与 nginx 的一致,库命名为 ServerCertificateChain.Kestrel

总结

我建议大家没事别把 kestrel ssl 裸奔,因为 kestrel 在 ssl 这块兼容性不像 nginx 那样坚如磐石。最后不管有没有 ssl 裸奔,也可以都了解一下 kestrel 目前在 ssl 上的不足。