SSL証明書を追加した後、RMI + SSL要求は非常に遅くなります。

SSL証明書を追加した後、RMI + SSL要求は非常に遅くなります。

RMIベースのアプリケーションにSSL証明書を追加しましたが、テストサーバーで正常に機能していたため、これを本番サーバーにデプロイした後、すべての要求は本番で行われるローカル接続の場合でもSSLハンドシェイクを待っています。サーバー上のいくつかのiptablesルールが原因で発生します。

デフォルトでは、すべてのポートはブロックされ、必要なポートのみが許可されます。私たちが実装するデフォルトのiptablesルールは次のとおりです/etc/rc.local

#Flush all
iptables -F
iptables -t nat -F

#Chains
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

#Allow local connections
iptables -A INPUT -s localhost -d localhost -j ACCEPT
iptables -A INPUT -s $ip -d $ip -j ACCEPT

#RMI ports (for rmi app)
iptables -A INPUT -p tcp --dport 1826 -j ACCEPT
iptables -A INPUT -p tcp --dport 1827 -j ACCEPT
iptables -A INPUT -p tcp --dport 18026 -j ACCEPT

#allowing RMI socket port range
iptables -A INPUT -p tcp --destination-port 20000:65535 -j ACCEPT

#Allow apache, https, tomcat ports
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp --dport 8443 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#Allow pings
iptables -A INPUT -p icmp -j ACCEPT

#Allow DNS
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 953 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 953 -j ACCEPT

私はiptablesルールについてはわかりませんが、SSLハンドシェイク中に一部の要求がDigicertに送信される可能性があるか、許可されていないポートやプロトコル(たとえば)を使用し、不足しているiptablesルールによってこの問題が発生したと思います。待っています。」

すでにこれと同じか類似の問題を経験している人はいますか?

情報

サーバー: CentOS 6.5 x64 by digitalocean.アプリケーション:JVM 1.8、RMI(シンデスクトップクライアント用)、およびTomcat(8080)(Webユーザー用)ベース。 Tomcat接続はローカルrmi接続を使用します。

修正する

次のルールを追加すると機能します。

iptables -A INPUT -s secure.globalsign.com -j ACCEPT
iptables -A INPUT -s ocsp.globalsign.com -j ACCEPT
iptables -A INPUT -s ocsp2.globalsign.com -j ACCEPT
iptables -A INPUT -s crl.globalsign.com -j ACCEPT

ちょうど握手は少し遅かった。

ベストアンサー1

おすすめ記事