首页
/ MeshCentral 中旧版 AMT 设备 TLS 连接问题的分析与解决方案

MeshCentral 中旧版 AMT 设备 TLS 连接问题的分析与解决方案

2025-06-11 09:49:16作者:董灵辛Dennis
MeshCentral
A complete web-based remote monitoring and management web site. Once setup you can install agents and perform remote desktop session to devices on the local network or over the Internet.
项目地址:https://gitcode.com/gh_mirrors/me/MeshCentral

问题背景

在 MeshCentral 服务器环境中,管理员在尝试管理支持 Intel AMT 技术的旧型号 PC 时遇到了 TLS 连接问题。这些设备主要运行较老版本的 AMT 固件(如 v7.1.91 和 v11.8.55),在 Ubuntu 24.04 系统上无法建立安全连接。

问题现象

当 MeshCentral 尝试与这些旧设备建立连接时,系统会经历以下典型过程:

  1. 首先尝试 TLS 连接(端口 16993)
  2. 连接失败并返回 408 错误
  3. 回退到非安全连接(端口 16992)并成功返回 200
  4. 自动配置功能(如 CIRA 设置)无法正常工作

在服务器日志中,管理员会看到类似以下错误信息:

TCP relay error: Error: 0A000102:SSL routines:ssl_choose_client_version:unsupported protocol
TCP relay error: Error: 0A0000BF:SSL routines:tls_setup_handshake:no protocols available

根本原因分析

经过深入调查,发现该问题主要由以下几个因素共同导致:

  1. OpenSSL 安全策略变更:Ubuntu 24.04 默认禁用了 TLS 1.0 和 1.1 协议,而这些旧版 AMT 设备仅支持这些老旧的 TLS 版本。

  2. Node.js 版本影响:较新的 Node.js 版本(特别是 v18+)默认不再支持旧版 TLS 协议和密码套件。

  3. AMT 固件限制:不同版本的 AMT 固件支持的 TLS 配置存在差异:

    • AMT v7 设备使用 2047 位 RSA 密钥
    • AMT v11 设备使用标准的 2048 位 RSA 密钥
    • 部分设备还支持 SSLv3 协议(已普遍认为不安全)

  4. MeshCentral 连接策略:即使配置为不使用 TLS,MeshCentral 仍会首先尝试 TLS 连接,导致初始连接延迟。

解决方案

临时解决方案

对于急需解决问题的环境,可以采用以下临时措施:

  1. 禁用 TLS 初始连接: 在 config.json 文件中添加以下配置:

    "amtManager": {
  "TlsConnections": false
}

    这将强制 MeshCentral 直接使用非安全连接进行初始通信。

  2. 降级系统环境: 暂时使用 Ubuntu 22.04 系统,其 OpenSSL 默认配置对旧协议支持更宽松。

永久解决方案

MeshCentral 开发团队已经提交了代码修复,主要包含以下改进:

  1. 调整 TLS 连接参数

    • 设置 minVersion: 'TLSv1' 以允许所有 TLS 1.x 版本
    • 移除冲突的 secureProtocol: 'TLSv1_method' 设置
    • 添加 SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION 选项以支持协议协商

  2. 优化连接策略

    • 改进初始连接逻辑,减少不必要的重试
    • 增强对不同 AMT 版本的兼容性处理

  3. 安全平衡: 在支持旧设备的同时,仍保持合理的现代安全标准,禁用已知不安全的 SSLv2/v3 协议。

技术细节

AMT 版本差异

测试发现不同 AMT 版本存在显著差异:

  • AMT v11.8.55

    • 支持 TLS 1.0 和 1.1
    • 使用标准 2048 位 RSA 密钥
    • 密码套件相对现代

  • AMT v7.1.91

    • 支持 SSLv3、TLS 1.0 和 1.1
    • 使用非标准的 2047 位 RSA 密钥
    • 包含已弃用的 RC4 密码套件

CIRA 配置问题

许多用户报告的 CIRA 自动配置失败问题,实际上与 TLS 连接问题密切相关。当主连接无法建立时,CIRA 所需的证书和其他配置自然也无法正确部署。

最佳实践建议

  1. 固件升级:尽可能将 AMT 固件升级到较新版本(v12+),以获得更好的安全性和兼容性。

  2. 环境隔离:对于必须使用旧设备的场景,考虑将其隔离到专用管理网络。

  3. 监控与测试:定期测试 AMT 连接功能,特别是在系统或 MeshCentral 升级后。

  4. 安全权衡:在必须支持旧设备的环境中,明确记录安全让步并评估风险。

结论

MeshCentral 对旧版 AMT 设备的支持问题主要源于现代安全标准与旧设备能力之间的鸿沟。通过理解底层技术细节并应用适当的配置调整,管理员可以在安全性和兼容性之间找到平衡点。最新的代码修复显著改善了这一状况,使 MeshCentral 能够更智能地处理不同版本的 AMT 设备连接。

MeshCentral
A complete web-based remote monitoring and management web site. Once setup you can install agents and perform remote desktop session to devices on the local network or over the Internet.
项目地址:https://gitcode.com/gh_mirrors/me/MeshCentral
登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
27
11
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
523
3.72 K
pytorchpytorch
Ascend Extension for PyTorch
Python
328
387
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
876
576
kernelkernel
openEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
335
161
flutter_flutterflutter_flutter
暂无简介
Dart
762
187
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.33 K
745
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
12
1
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
JavaScript
302
349
MindSpeed-MMMindSpeed-MM
华为昇腾面向大规模分布式训练的多模态大模型套件,支撑多模态生成、多模态理解。
Python
112
136