使用TLS 1.2将客户端连接到TCP服务器

Question

我正在努力将设备连接到.Net（4.5.2）服务器。 它是由设备打开的TCP连接，使用TLS 1.2。

• 在服务器端，我有一个TCP服务器的标准.Net实现： SslStream通过DotNetty包装
• 我无法更改设备上的任何内容

任何.Net客户端都可以使用安全的TLS连接成功连接到我的服务器。 它在使用CURL时也正常工作，所以我得出结论我的TCP服务器工作正常。

所以我比较了（使用Wireshark）工作客户端发送的内容与无法连接的设备发送的内容。 我发现的显着差异是客户端Hello TLS消息中缺少（对于设备） 服务器名称扩展（SNI） 。

我接下来尝试的是使用Pcap.Net手动将数据发送到我的服务器，即使用原始字节数组手动发送TCP SYN / TCP ACK /客户端Hello消息（我从尝试连接的设备获得的原始数据（感谢Wireshark）到我的服务器）。 我确认通过添加服务器名称扩展来调整不工作的客户端Hello原始字节数组会导致我的TLS握手工作。

所以很明显我遇到了一个问题，那就是不包含SNI扩展的客户端和一个拒绝握手的服务器，如果这个信息不存在的话。

如何更改TCP服务器接受不提供服务器名称扩展的客户端的行为方式？ 是否有可能首先使用标准的.Net SslStream类？

AFAIK，SNI扩展不是强制性的，由客户决定是否使用它，因此服务器理论上应该接受没有它的客户端Hello消息。

任何指针都将非常感激。

Answer 1

.Net 4.5.2支持TLS1.2，但默认情况下禁用。

要启用它，您必须明确定义安全协议集。

System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12 | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls;

有关更多信息，请参阅以下链接https://msdn.microsoft.com/en-us/library/system.net.servicepointmanager.securityprotocol%28v=vs.110%29.aspx