首页
/ MeshCentral 中旧版 AMT 设备 TLS 连接问题的分析与解决方案

MeshCentral 中旧版 AMT 设备 TLS 连接问题的分析与解决方案

2025-06-11 09:23:25作者:董灵辛Dennis

问题背景

在 MeshCentral 服务器环境中,管理员在尝试管理支持 Intel AMT 技术的旧型号 PC 时遇到了 TLS 连接问题。这些设备主要运行较老版本的 AMT 固件(如 v7.1.91 和 v11.8.55),在 Ubuntu 24.04 系统上无法建立安全连接。

问题现象

当 MeshCentral 尝试与这些旧设备建立连接时,系统会经历以下典型过程:

  1. 首先尝试 TLS 连接(端口 16993)
  2. 连接失败并返回 408 错误
  3. 回退到非安全连接(端口 16992)并成功返回 200
  4. 自动配置功能(如 CIRA 设置)无法正常工作

在服务器日志中,管理员会看到类似以下错误信息:

TCP relay error: Error: 0A000102:SSL routines:ssl_choose_client_version:unsupported protocol
TCP relay error: Error: 0A0000BF:SSL routines:tls_setup_handshake:no protocols available

根本原因分析

经过深入调查,发现该问题主要由以下几个因素共同导致:

  1. OpenSSL 安全策略变更:Ubuntu 24.04 默认禁用了 TLS 1.0 和 1.1 协议,而这些旧版 AMT 设备仅支持这些老旧的 TLS 版本。

  2. Node.js 版本影响:较新的 Node.js 版本(特别是 v18+)默认不再支持旧版 TLS 协议和密码套件。

  3. AMT 固件限制:不同版本的 AMT 固件支持的 TLS 配置存在差异:

    • AMT v7 设备使用 2047 位 RSA 密钥
    • AMT v11 设备使用标准的 2048 位 RSA 密钥
    • 部分设备还支持 SSLv3 协议(已普遍认为不安全)
  4. MeshCentral 连接策略:即使配置为不使用 TLS,MeshCentral 仍会首先尝试 TLS 连接,导致初始连接延迟。

解决方案

临时解决方案

对于急需解决问题的环境,可以采用以下临时措施:

  1. 禁用 TLS 初始连接: 在 config.json 文件中添加以下配置:

    "amtManager": {
      "TlsConnections": false
    }
    

    这将强制 MeshCentral 直接使用非安全连接进行初始通信。

  2. 降级系统环境: 暂时使用 Ubuntu 22.04 系统,其 OpenSSL 默认配置对旧协议支持更宽松。

永久解决方案

MeshCentral 开发团队已经提交了代码修复,主要包含以下改进:

  1. 调整 TLS 连接参数

    • 设置 minVersion: 'TLSv1' 以允许所有 TLS 1.x 版本
    • 移除冲突的 secureProtocol: 'TLSv1_method' 设置
    • 添加 SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION 选项以支持协议协商
  2. 优化连接策略

    • 改进初始连接逻辑,减少不必要的重试
    • 增强对不同 AMT 版本的兼容性处理
  3. 安全平衡: 在支持旧设备的同时,仍保持合理的现代安全标准,禁用已知不安全的 SSLv2/v3 协议。

技术细节

AMT 版本差异

测试发现不同 AMT 版本存在显著差异:

  • AMT v11.8.55

    • 支持 TLS 1.0 和 1.1
    • 使用标准 2048 位 RSA 密钥
    • 密码套件相对现代
  • AMT v7.1.91

    • 支持 SSLv3、TLS 1.0 和 1.1
    • 使用非标准的 2047 位 RSA 密钥
    • 包含已弃用的 RC4 密码套件

CIRA 配置问题

许多用户报告的 CIRA 自动配置失败问题,实际上与 TLS 连接问题密切相关。当主连接无法建立时,CIRA 所需的证书和其他配置自然也无法正确部署。

最佳实践建议

  1. 固件升级:尽可能将 AMT 固件升级到较新版本(v12+),以获得更好的安全性和兼容性。

  2. 环境隔离:对于必须使用旧设备的场景,考虑将其隔离到专用管理网络。

  3. 监控与测试:定期测试 AMT 连接功能,特别是在系统或 MeshCentral 升级后。

  4. 安全权衡:在必须支持旧设备的环境中,明确记录安全让步并评估风险。

结论

MeshCentral 对旧版 AMT 设备的支持问题主要源于现代安全标准与旧设备能力之间的鸿沟。通过理解底层技术细节并应用适当的配置调整,管理员可以在安全性和兼容性之间找到平衡点。最新的代码修复显著改善了这一状况,使 MeshCentral 能够更智能地处理不同版本的 AMT 设备连接。

登录后查看全文
热门项目推荐

项目优选

收起
openHiTLS-examplesopenHiTLS-examples
本仓将为广大高校开发者提供开源实践和创新开发平台,收集和展示openHiTLS示例代码及创新应用,欢迎大家投稿,让全世界看到您的精巧密码实现设计,也让更多人通过您的优秀成果,理解、喜爱上密码技术。
C
47
248
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
346
381
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
871
516
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
179
263
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
131
184
kernelkernel
deepin linux kernel
C
22
5
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
7
0
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
335
1.09 K
harmony-utilsharmony-utils
harmony-utils 一款功能丰富且极易上手的HarmonyOS工具库,借助众多实用工具类,致力于助力开发者迅速构建鸿蒙应用。其封装的工具涵盖了APP、设备、屏幕、授权、通知、线程间通信、弹框、吐司、生物认证、用户首选项、拍照、相册、扫码、文件、日志,异常捕获、字符、字符串、数字、集合、日期、随机、base64、加密、解密、JSON等一系列的功能和操作,能够满足各种不同的开发需求。
ArkTS
31
0
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.08 K
0