惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Hacker News: Ask HN
Hacker News: Ask HN
WordPress大学
WordPress大学
T
The Blog of Author Tim Ferriss
The GitHub Blog
The GitHub Blog
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
博客园 - 聂微东
A
About on SuperTechFans
Stack Overflow Blog
Stack Overflow Blog
雷峰网
雷峰网
Microsoft Azure Blog
Microsoft Azure Blog
腾讯CDC
爱范儿
爱范儿
酷 壳 – CoolShell
酷 壳 – CoolShell
博客园 - 【当耐特】
V
Visual Studio Blog
有赞技术团队
有赞技术团队
U
Unit 42
D
Docker
小众软件
小众软件
F
Full Disclosure
I
Intezer
Scott Helme
Scott Helme
P
Privacy International News Feed
P
Proofpoint News Feed
Engineering at Meta
Engineering at Meta
Google DeepMind News
Google DeepMind News
B
Blog
Martin Fowler
Martin Fowler
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Vercel News
Vercel News
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Spread Privacy
Spread Privacy
宝玉的分享
宝玉的分享
S
Security Affairs
www.infosecurity-magazine.com
www.infosecurity-magazine.com
月光博客
月光博客
C
Cisco Blogs
云风的 BLOG
云风的 BLOG
Schneier on Security
Schneier on Security
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
T
Threat Research - Cisco Blogs
量子位
Hacker News - Newest:
Hacker News - Newest: "LLM"
H
Heimdal Security Blog
N
Netflix TechBlog - Medium
H
Hacker News: Front Page
P
Proofpoint News Feed
G
GRAHAM CLULEY
V
Vulnerabilities – Threatpost
S
Schneier on Security

博客园_首页

Linux实操--组管理、权限管理和定时任务 Java + EasyExcel 实现单个接口导出多个Excel Mem0 源码解析系列(二):提示词工程的深度剖析 Openclaw TaskFlow究竟是什么?和普通Skill技能有什么区别 博文阅读密码验证 - 博客园 嘉立创开源:应该是全网MicroPython教程最多的开发板 Hermes Agent 集成实践:从协议到生产 2026年AI编程工具横评:Cursor、Codex、Claude Code、Zed、Windsurf Java程序员必看的RAG入门教程 2026 AI效率神器:Superpowers + Claude Code 保姆级教程 本地大模型部署全攻略:从 0 到 1 玩转 Ollama 【从0到1构建一个ClaudeAgent】内存管理-上下文压缩 .NET 高级开发 | 设计、实现一个事件总线框架 电子小白入门之NE555 3. WorkBuddy:隐藏玩法,一键召唤专家,让 AI 以"专家身份"给你干活 和AI一起搞事情#3:Claude Teammate 游戏开发翻车实录 【OpenClaw】通过 Nanobot 源码学习架构---(7)Memory C# .NET 周刊|2026年3月3期 我在 Debian 11 上把 K8s 单机搭起来了,过程没你想的那么顺(/opt 目录版) 深度学习进阶(七)Data-efficient Image Transformer CLI+Skill搭建浏览器AI自动化框架,告别一切重复枯燥任务 告别Token账单无底洞:OpenClaw本地部署,重塑企业数据主权的唯一解 FastAPI+Vue:文件分片上传+秒传+断点续传,这坑我帮你踩平了! SBTI 爆火后,我做了个程序员版的 CBTI。。已开源 + 附开发过程 多模态检索开始进入工程期:用 Sentence Transformers 搭建可落地的 Multimodal RAG 100多行代码实现一个最简单的Agent(用ReAct) Claude Code 通关手册(八):推荐 5 个 Hooks,代码质量提升 3 倍 老板:“有人截图了!”。安全部门:“收到,马上查暗水印!” - why技术 技术之外,皆是人间 C#/.NET/.NET Core技术前沿周刊 | 第 69 期(2026年4.01-4.12) Snack JSONPath 项目架构分析 Claude Code Buddy 小析:一个非核心功能,如何体现产品的细节完成度 AI新时代下的图床管理方案-Cloudflare图床+MCP+Skills方案指南 化繁为简:顺丰速运App如何通过 HarmonyOS SDK实现专业级空间测量 从零实现富文本编辑器#13-React非编辑节点的内容渲染 AI开发-python-langchain框架(3-23-OpenAI Functions风格Tool Calling智能助手) .NET + AI 进阶实战:基于类的技能开发 - 打造可治理的 Agent 能力模块 【从0到1构建一个ClaudeAgent】规划与协调-技能 上周热点回顾(4.6-4.12) 电子小白的工具三件套:面包板、杜邦线、万能板 单表五亿数据的查询优化 | Mysql、StarRocks 2. WorkBuddy:从“我是谁”到“帮我干活” C# 如何减少代码运行时间:7 个实战技巧 基于HelixToolkit.SharpDX 渲染3D模型 - 笺上知微 从零开始的双臂具身VLA起源及现阶段发展综述 - SkyXZ 记对 xonsh shell 的使用, 脚本编写, 迁移及调优 - pluvium27 受够了Vibe Coding的失控?换个起点,让AI事半功倍 从开始配置漏洞环境到漏洞复现流程 - 難しい 关于10年工作经验的程序员对OpenClaw的实战经验分享以及看法 - 虚无境 Any metadata 的内存布局 C# .NET 周刊|2026年3月2期 - InCerry 我帮你测过了,测试圈排名第二的 Skill 依然很牛逼 Skill Discovery | 无监督技能发现的经典工作总结 - MoonOut PbootCMS 网站内容数量多导致访问慢?这些实用优化方案帮你提速! - 家兴网络技术工作室 上下文工程是什么?过时了么?一文讲明白! - 一枫说码 网站漏洞怎么发现并修复?一篇实用指南(附完整流程) - 家兴网络技术工作室 开了 TUN 模式还是直连?90% 的人都踩过这个坑 Github日报|2026年04月12日 - AI一族 AScript扩展多种脚本语言 - rockey627 AI 学习笔记:Agent 的记忆机制 你能被装进一个文件里吗?——7 万人把同事"蒸馏"成了 AI - 我没有三颗心脏 Claude Code 通关手册(七):给 AI 装上技能包——Skills 完全指南 - 暮色之狐 在浏览器中快速编辑代码:VSCode Web 集成实践 - Newbe36524 蒸馏自己 skill?基于 Deepseek 的蒸馏器,丐版蒸馏方式,简单便捷 - To_Carpe_Diem Spring AI Aliababa和AgentScope,哪个更好? - 苏三说技术 Etsy 把 1000 个 MySQL 分片迁进 Vitess:425TB 数据背后的真正问题不是性能,而是运维规模 MicroPython LVGL基础知识和概念:底层渲染与性能优化 - FreakStudio 数据库草图算法 Python 潮流周刊#146:CPython 引入 Rust 的进展 - 豌豆花下猫 最小生成树 - mofei1116 红日靶场七:从外网入口、容器逃逸到 AD 接管的完整利用链复盘 - YouDiscovered1t 分享四款开源且实用的 Kafka 管理工具 - 追逐时光者 vLLM 权重加载机制全解析:从挑战到理想架构 LCT 学习笔记 - ACehomoxue Avalonia UI 12.0.0 正式发布:架构演进和性能飞跃 - 张善友 当 AI Agent 把调用链拉长,延迟开始成为一门生意 conhost.exe 无法显示 U+2717 - 145a 太秀了,我把自己蒸馏成了 Skill!已开源 - 程序员鱼皮 ASP.NET Core 内存缓存实战:一篇搞懂该怎么配、怎么避坑 基于 Ghostty 带有分割标签页和为 Claude 编程设计的通知终端 - BugShare AI 焊死入口:教育的“操作系统级”重塑 - 郝hai 初级Java开发工程师使用sql脚本编写代码的过程是简单而且不糊涂 - CoderOilStation Claude Code通关手册(六):MCP协议完全指南 - 暮色之狐 边框灯光环绕动画特效实现指南 - Newbe36524 开源:子木蒸馏版的 SEO 审计工具 seo-audit-skill v1.0 我所理解的Python元模型 【从0到1构建一个ClaudeAgent】规划与协调-TodoWrite - 程序员Seven Claude 和 Codex 在审计 Skill 上性能差异探究 - ACai_sec AScript如何实现中文脚本引擎 - rockey627 【渗透测试】HTB Season10 Garfield 全过程wp - dynasty_chenzi Android 开发者为什么必须掌握 AI 能力?端侧视角下的技术变革 树状数组正确性证明 - AC-wyr 你的 AI 焦虑,可能比 AI 本身更危险——ATM 机没有消灭银行柜员,但恐慌消灭了你的判断力 - 我没有三颗心脏 一个拉胯的分库分表方案有多绝望?整个部门都在救火! - 冰河团队 动态规划入门必学之走方格问题 - Ofnoname PostgREST 与 PostgreSQL 角色权限配置全解析(生产级实践) - SheepDog1998 使用 UEFI 图形输出协议 GOP 在屏幕上显示图像的方法 - 阿源- Claude Code通关手册(五):组建你的AI专家团队,子代理系统 - 暮色之狐 一个程序员到架构师的催婚路之感悟(整整10年后的催婚相亲感悟) - MisterLip 用 Agent Skill 自动生成工作周报 - 赵康
kestrel 的 ssl 行为分析
jiulang · 2026-06-16 · via 博客园_首页

前言

我有个项目使用了 CYarp,相当于把 kestrel 做了对外的网关,最近给他更新 ssl 证书时,浏览器访问服务是正常的,但客户端设备的连接时炸了,表现为无法信任服务器证书。同时我发现,这个 ssl 证书放到 nginx 上,客户端设备的连接又是完全正常的,当然 kestrel 和 nginx 是同样的 linux-x64 环境。

问题定位

我找来一台老的 centos 做客户端,使用 curl 来请求到 kestrel 的接口,也得到了服务器证书验证不通过的问题,然后使用 openssl 客户端来获取 kestrel 和 nginx 返回的证书链做对比:

openssl s_client -connect xxx.com:443 -showcerts

发现 nginx 返回的证书链和证书文件提供的证书链是吻合的,但 kestrel 返回的证书链短了一节,这个发现惊呆了我,因为我潜意识里都认为在 linux 上 kestrel 会完使用用户自定义指定的证书链。

老的 ssl 证书还有20天的时长,这个给我有足够长的时间来分析 kestrel 的 ssl 行为了。

分析 ServerCertificateChain

先提供结论:kestrel 目前只能读取到 Endpoint 下配置的 pem 格式证书文件的证书链,其它三种情况都有BUG。

证书配置位置 证书文件类型 证书链读取
Endpoint PEM
Endpoint Pfx ×
Default PEM ×
Default Pfx ×

遇到问题不要慌,先 AI 分析一波,AI 告诉要设置 ServerCertificateChain

builder.WebHost.ConfigureKestrel(kestrel =>
{
    kestrel.ConfigureHttpsDefaults(https =>
    { 
        https.ServerCertificateChain = 自己实现从证书文件读取;
    });
});

我有点想怼 AI,kestrel 不可能不读取证书文件的证书链,于是我加了行 ServerCertificateChain 不为 null 的断言,同时在配置文件的默认证书了放了 ssl 证书:

builder.WebHost.ConfigureKestrel(kestrel =>
{
    kestrel.ConfigureHttpsDefaults(https =>
    { 
        https.OnAuthenticate = (context, options) =>
        {
            Debug.Assert(https.ServerCertificateChain is not null);
        };
    });
});
{
  "Kestrel": {
    "Endpoints": {
      "Https": {
        "Url": "https://*:443"       
    },
    "Certificates": {
      "Default": {
        "Path": "certs/test_bundle.crt",
        "KeyPath": "certs/test.key"
      }
    }
  }
}

结果还真炸起来了,Debug.Assert 断言不通过!
这泥马 https.ServerCertificateChain 为 null,证书链短一节我一点都不觉得荒唐了,但为什么为 null 呢,我翻了 ASP.NET core 的 issues,找到25年3月报告的一个问题:Kestrel inconsistent certificate chain handling between endpoint and default configuration,描述的是证书放到 Default 节点后,表现为和放到 Endpoint(Https) 节点不一样,我们现在把配置文件改成如下:

{
  "Kestrel": {
    "Endpoints": {
      "Https": {
        "Url": "https://*:443",
        "Certificate": {
            "Path": "certs/test_bundle.crt",
            "KeyPath": "certs/test.key"
        }
      }  
    }
  }
}

现在能读取到 ServerCertificateChain,看来AI说得没错,https.ServerCertificateChain = 自己实现从证书文件读取,可以弥补 Default 证书不读取证书链的问题,假设我们手动设置了 ServerCertificateChain,证书也是配置在Endpoint下,最终保留的来源于哪里的证书链呢?做了以下实验后,发现是证书文件的证书链优先。

builder.WebHost.ConfigureKestrel(kestrel =>
{
    kestrel.ConfigureHttpsDefaults(https =>
    { 
        // 手动设置 ServerCertificateChain
        https.ServerCertificateChain = [];
        https.OnAuthenticate = (context, options) =>
        {
            // 断言成立,如果能读取到证书文件的证书链,手动设置的 ServerCertificateChain 会被覆盖
            Debug.Assert(https.ServerCertificateChain is not null && https.ServerCertificateChain.Count > 0);
        };
    });
});

我把证书格式改成带证书链的 pfx,配置在 Endpoint 节下,发现 kestrel 读取到的证书链不为 null ,但总是 0 个元素,翻看最新的源码,看到 kestrel 目前只简单粗暴的通过 X509Certificate2Collection.ImportFromPemFile()) 来读取证书链,对于 pfx 格式,这肯定 import 不到内容哈。

使用 ServerCertificateChain

经过上述深入的分析,只要我们使用 PEM 格式的证书文件,并且配置在 Endpoint 节下,那么 kestrel 就能使用上证书文件里提供的中间证书,最后生成和 nginx 一样的证书链。

我迫不及待地搭建了一个测试服务器,用上和 nginx 一样的 PEM 证书,满怀信心地使用 openssl 客户端来验证,可我发现还是验证不通过!

我确定 kestrel 已经从 PEM 证书文件里原封地读取到了证书链且设置了 https.ServerCertificateChain,但在 tls 握手时,服务器响应的证书链变短了。

翻看了 HttpsConnectionMiddleware 源码,发现 serverCertificateContext 的构建方式是依赖于系统证书 store,https.ServerCertificateChain 只不过是其构建过程中可能用到的辅料罢了,或者说几乎所有服务器操作系统环境,https.ServerCertificateChain 有值或为 null ,生成的 serverCertificateContext 一般都不会有差异。

我们通过自定义生成 ServerCertificateContext 并应用到 kestrel,最终发现生成的证书链和 nginx 的完全一样,在客户端设备上进行 https 连接成功。

builder.WebHost.ConfigureKestrel(kestrel =>
{
    kestrel.ConfigureHttpsDefaults(https =>
    {
        https.OnAuthenticate = (context, options) =>
        {
            var chain = https.ServerCertificateChain;
            Debug.Assert(chain is not null && chain.Count > 0);

            // ServerCertificateContext 要缓存,不能每次 OnAuthenticate 都创建新的 ServerCertificateContext,否则性能会非常差。
            var serverCertificate = options.ServerCertificate as X509Certificate2;
            var trust = SslCertificateTrust.CreateForX509Collection(chain);
            options.ServerCertificateContext = SslStreamCertificateContext.Create(serverCertificate!, chain, false, trust);
        };
    });
});

通用避坑方案

我想实现一个避坑库,让使用者加一行代码,就能避开 kestrel 的上述行为,而开发者的项目的证书文件类型能继续保留为 pfx 格式,也允许只配置默认证书为所有 https Endpoint 共享,同时要求这个库不能影响到开发者既有的 https 配置委托代码或 Endpoint 配置委托代码的执行,也不能让 https tls握手时的性能不可接受的下降。

我做了很久的构思,在实现上推倒了又重来多次,终于实现了一个相对高效的 OnAuthenticate 实现,最终让 kestrel 的证书链结果与 nginx 的一致,库命名为 ServerCertificateChain.Kestrel

总结

我建议大家没事别把 kestrel ssl 裸奔,因为 kestrel 在 ssl 这块兼容性不像 nginx 那样坚如磐石。最后不管有没有 ssl 裸奔,也可以都了解一下 kestrel 目前在 ssl 上的不足。