MeshCentral 中旧版 AMT 设备 TLS 连接问题的分析与解决方案

2025-06-11 15:34:05作者：董灵辛Dennis

A complete web-based remote monitoring and management web site. Once setup you can install agents and perform remote desktop session to devices on the local network or over the Internet.

项目地址：https://gitcode.com/gh_mirrors/me/MeshCentral

问题背景

在 MeshCentral 服务器环境中，管理员在尝试管理支持 Intel AMT 技术的旧型号 PC 时遇到了 TLS 连接问题。这些设备主要运行较老版本的 AMT 固件（如 v7.1.91 和 v11.8.55），在 Ubuntu 24.04 系统上无法建立安全连接。

问题现象

当 MeshCentral 尝试与这些旧设备建立连接时，系统会经历以下典型过程：

首先尝试 TLS 连接（端口 16993）
连接失败并返回 408 错误
回退到非安全连接（端口 16992）并成功返回 200
自动配置功能（如 CIRA 设置）无法正常工作

在服务器日志中，管理员会看到类似以下错误信息：

TCP relay error: Error: 0A000102:SSL routines:ssl_choose_client_version:unsupported protocol
TCP relay error: Error: 0A0000BF:SSL routines:tls_setup_handshake:no protocols available

根本原因分析

经过深入调查，发现该问题主要由以下几个因素共同导致：

OpenSSL 安全策略变更：Ubuntu 24.04 默认禁用了 TLS 1.0 和 1.1 协议，而这些旧版 AMT 设备仅支持这些老旧的 TLS 版本。
Node.js 版本影响：较新的 Node.js 版本（特别是 v18+）默认不再支持旧版 TLS 协议和密码套件。
AMT 固件限制：不同版本的 AMT 固件支持的 TLS 配置存在差异：
- AMT v7 设备使用 2047 位 RSA 密钥
- AMT v11 设备使用标准的 2048 位 RSA 密钥
- 部分设备还支持 SSLv3 协议（已普遍认为不安全）
MeshCentral 连接策略：即使配置为不使用 TLS，MeshCentral 仍会首先尝试 TLS 连接，导致初始连接延迟。

解决方案

临时解决方案

对于急需解决问题的环境，可以采用以下临时措施：

禁用 TLS 初始连接：在 config.json 文件中添加以下配置：
```
"amtManager": {
  "TlsConnections": false
}
```
这将强制 MeshCentral 直接使用非安全连接进行初始通信。
降级系统环境：暂时使用 Ubuntu 22.04 系统，其 OpenSSL 默认配置对旧协议支持更宽松。

永久解决方案

MeshCentral 开发团队已经提交了代码修复，主要包含以下改进：

调整 TLS 连接参数：
- 设置 minVersion: 'TLSv1' 以允许所有 TLS 1.x 版本
- 移除冲突的 secureProtocol: 'TLSv1_method' 设置
- 添加 SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION 选项以支持协议协商
优化连接策略：
- 改进初始连接逻辑，减少不必要的重试
- 增强对不同 AMT 版本的兼容性处理
安全平衡：在支持旧设备的同时，仍保持合理的现代安全标准，禁用已知不安全的 SSLv2/v3 协议。

技术细节

AMT 版本差异

测试发现不同 AMT 版本存在显著差异：

AMT v11.8.55：
- 支持 TLS 1.0 和 1.1
- 使用标准 2048 位 RSA 密钥
- 密码套件相对现代
AMT v7.1.91：
- 支持 SSLv3、TLS 1.0 和 1.1
- 使用非标准的 2047 位 RSA 密钥
- 包含已弃用的 RC4 密码套件