Aws-iot-device-sdk-python-v2: AWS_IO_TLS_ERROR_NEGOTIATION_FAILURE on 1.0.6(awscrt 0.5.13)
- [x]以前の同様の問題を検索しましたが、解決策が見つかりませんでした
バグを説明する
インストールをawsiotsdk-1.0.6にアップグレードした後、awscrtでの動作が停止し、awsのバックエンドでの認証に失敗しました。 0.5.13へのawscrtアップグレードに関連している可能性があります。
SDKのバージョン番号
awsiotsdk-1.0.6
プラットフォーム/ OS /デバイス
rpi3b +
再現する(観察された行動)
awsiotsdkをバージョン1.0.6アップグレードします。
予想される行動
期待どおりに動作するはずです。
ログ/出力
Apr 15 06:55:01 raspberrypi python3[581]: Connecting to something-east-1.amazonaws.com with client ID 'foo-bar-baz'...
Apr 15 06:55:01 raspberrypi python3[581]: Traceback (most recent call last):
Apr 15 06:55:01 raspberrypi python3[581]: File "app.py", line 86, in <module>
Apr 15 06:55:01 raspberrypi python3[581]: connect_future.result()
Apr 15 06:55:01 raspberrypi python3[581]: File "/usr/lib/python3.7/concurrent/futures/_base.py", line 432, in result
Apr 15 06:55:01 raspberrypi python3[581]: return self.__get_result()
Apr 15 06:55:01 raspberrypi python3[581]: File "/usr/lib/python3.7/concurrent/futures/_base.py", line 384, in __get_result
Apr 15 06:55:01 raspberrypi python3[581]: raise self._exception
Apr 15 06:55:01 raspberrypi python3[581]: awscrt.exceptions.AwsCrtError: AwsCrtError(name='AWS_IO_TLS_ERROR_NEGOTIATION_FAILURE', message='TLS (SSL) negotiation failed', code=1029)
Apr 15 06:55:01 raspberrypi systemd[1]: app.service: Main process exited, code=exited, status=1/FAILURE
mkozjak
全てのコメント17件
私は同じ問題を経験しました。
adolfogc
2020年04月15日
同じ基本的な機能に基づいていると私が信じているCPPv2SDKの同様の問題を検索しているときに、あなたの投稿に出くわしました。 CPPv2 SDKが、提供されたCA証明書だけでなく、完全な信頼の鎖を検証しようとしていることがわかりましたが、完全な信頼の鎖はデバイスに存在しませんでした。 /etc/ssl/certs/ca-certificates.crtをUbuntuマシンからデバイスにコピーし、それをAws :: Iot :: MqttClientConnectionConfigBuilder :: WithCertificateAuthority()メソッドに渡すことで、機能する完全なトラストストアを提供できました。 。 このメソッドに相当するPythonが何であるかはわかりませんが、そこにある必要があります。このヒントがお役に立てば幸いです。
更新:C ++ SDKの最後のバージョンでは、S2N(AWS TLSスタック)が署名用にECDSAを選択することもわかりました。これは、コードベースのリリースバージョンではサポートされていません。
jsakwa
2020年04月17日
@jsakwaのアドバイスは
--root-ca設定してsamples/pubsub.pyを実行できますか? 通常、ここで入手できるAmazonルートCA1ファイルを渡し
graebm
2020年04月22日
@ graebm 、atmをテストするための帯域幅がありません。 それはあなたのために働きますか? それが機能する場合、信頼のルートがまだマシンにインストールされておらず、私のマシンにある場合はスイッチを使用する必要があるとドキュメントに明確に記載されているため、不自然に感じるでしょう(ダウングレード後に機能します)。
mkozjak
2020年04月22日
@graebmもう一度テストしました。 バージョン1.0.5は正常に動作します。 この問題は、バージョン1.0.6を使用している場合に発生します。 私はあなたが言及したそのCAで署名された証明書を使用しています(非推奨のものではありません)。
このテストは、Dockerコンテナで--root-caを使用してpubsub.pyを使用して実行されました。
これは、デバッグ出力の抜粋です。
(...)
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfc006320: Scheduling attempt_connection task for immediate execution
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfc006320: Running attempt_connection task with <Running> status
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [socket] - id=0xfd502a50 fd=6: initializing with domain 1 and type 0
Unsupported setsockopt level=1 optname=16384
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [socket] - id=0xfd502a50 fd=6: setting socket options to: keep-alive 0, keep idle 0, keep-alive interval 0, keep-alive probe count 0.
[WARN ] [2020-04-25T22:14:14Z] [fdeff460] [socket] - id=0xfd502a50 fd=6: setsockopt() for NO_SIGNAL failed with errno 92. If you are having SIGPIPE signals thrown, you may want to install a signal trap in your application layer.
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [socket] - id=0xfd502a50 fd=6: beginning connect.
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [socket] - id=0xfd502a50 fd=6: connecting to endpoint [redacted]:443.
[ERROR] [2020-04-25T22:14:14Z] [fdeff460] [socket] - id=0xfd502a50 fd=6: connect failed with error code 99.
[INFO ] [2020-04-25T22:14:14Z] [fdeff460] [dns] - id=0xff2df650: recording failure for record [redacted] for [redacted].iot.us-east-1.amazonaws.com, moving to bad list
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [dns] - static: purging address [redacted] for host [redacted].iot.us-east-1.amazonaws.com from the cache due to cache eviction or shutdown
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [socket] - id=0xfd502a50 fd=6: is still open, closing...
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [socket] - id=0xfd502a50 fd=6: closing
[ERROR] [2020-04-25T22:14:14Z] [fdeff460] [channel-bootstrap] - id=0xff3109a0: failed to create socket with error 1055
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfc006450: Scheduling attempt_connection task for immediate execution
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfc006450: Running attempt_connection task with <Running> status
Unsupported setsockopt level=1 optname=16384
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [socket] - id=0xfd502a50 fd=6: initializing with domain 0 and type 0
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [socket] - id=0xfd502a50 fd=6: setting socket options to: keep-alive 0, keep idle 0, keep-alive interval 0, keep-alive probe count 0.
[WARN ] [2020-04-25T22:14:14Z] [fdeff460] [socket] - id=0xfd502a50 fd=6: setsockopt() for NO_SIGNAL failed with errno 92. If you are having SIGPIPE signals thrown, you may want to install a signal trap in your application layer.
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [socket] - id=0xfd502a50 fd=6: beginning connect.
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [socket] - id=0xfd502a50 fd=6: connecting to endpoint [redacted]:443.
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfd503440: Scheduling (null) task for future execution at time 3166071860135
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfd503488: Scheduling epoll_event_loop_unsubscribe_cleanup task for immediate execution
[INFO ] [2020-04-25T22:14:14Z] [fdeff460] [socket] - id=0xfd502a50 fd=6: connection success
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [socket] - id=0xfd502a50 fd=6: local endpoint 172.17.0.2:58438
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [socket] - id=0xfd502a50 fd=6: assigning to event loop 0xff281f60
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [channel-bootstrap] - id=0xff3109a0: client connection on socket 0xfd502a50 completed with error 0.
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [channel] - id=0xfd504088: Beginning creation and setup of new channel.
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfd503c48: Scheduling on_channel_setup_complete task for immediate execution
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfd503488: Running epoll_event_loop_unsubscribe_cleanup task with <Running> status
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfd503c48: Running on_channel_setup_complete task with <Running> status
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [channel] - id=0xfd504088: setup complete, notifying caller.
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [channel] - id=0xfd504088: no message pool is currently stored in the event-loop local storage, adding 0xfd504740 with max message size 16384, message count 4, with 4 small blocks of 128 bytes.
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [channel-bootstrap] - id=0xff3109a0: channel 0xfd504088 setup succeeded: bootstrapping.
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [socket-handler] - id=0xfd514e68: Socket handler created with max_read_size of 16384
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfd515038: Scheduling tls_timeout task for future execution at time 3165183175311
[WARN ] [2020-04-25T22:14:14Z] [fdeff460] [tls-handler] - id=0xfd515020: negotiation failed with error Invalid signature algorithm (Error encountered in /tmp/pip-wheel-tiv_gdev/awscrt/aws-common-runtime/s2n/tls/s2n_client_cert_verify.c line 96)
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [channel-bootstrap] - id=0xff3109a0: tls negotiation result 1029 on channel 0xfd504088
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfd5041c8: Scheduling channel_shutdown task for immediate execution
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [channel] - id=0xfd504088: Channel shutdown is already pending, not scheduling another.
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfd5041c8: Running channel_shutdown task with <Running> status
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [channel] - id=0xfd504088: beginning shutdown process
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [channel] - id=0xfd504088: handler 0xfd514e68 shutdown in read dir completed.
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [tls-handler] - id=0xfd515020: Shutting down read direction with error code 1029
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [channel] - id=0xfd504088: handler 0xfd515020 shutdown in read dir completed.
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfd5040a0: Scheduling (null) task for immediate execution
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfd5040a0: Running (null) task with <Running> status
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [tls-handler] - id=0xfd515020: Shutting down write direction
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [channel] - id=0xfd504088: handler 0xfd515020 shutdown in write dir completed.
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [socket] - id=0xfd502a50 fd=6: closing
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfd503c00: Scheduling epoll_event_loop_unsubscribe_cleanup task for immediate execution
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfd514ec8: Scheduling socket_handler_close task for immediate execution
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfd503c00: Running epoll_event_loop_unsubscribe_cleanup task with <Running> status
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfd514ec8: Running socket_handler_close task with <Running> status
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [channel] - id=0xfd504088: handler 0xfd514e68 shutdown in write dir completed.
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfd5040a0: Scheduling (null) task for immediate execution
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfd5040a0: Running (null) task with <Running> status
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [channel] - id=0xfd504088: during shutdown, canceling task 0xfd515038
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [task-scheduler] - id=0xfd515038: Running tls_timeout task with <Canceled> status
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [channel-bootstrap] - id=0xff3109a0: channel 0xfd504088 shutdown with error 1029.
[DEBUG] [2020-04-25T22:14:14Z] [fdeff460] [channel] - id=0xfd504088: destroying channel.
Traceback (most recent call last):
File "/opt/controller/pubsub.py", line 141, in <module>
connect_future.result()
File "/usr/local/lib/python3.7/concurrent/futures/_base.py", line 435, in result
return self.__get_result()
File "/usr/local/lib/python3.7/concurrent/futures/_base.py", line 384, in __get_result
raise self._exception
awscrt.exceptions.AwsCrtError: AwsCrtError(name='AWS_IO_TLS_ERROR_NEGOTIATION_FAILURE', message='TLS (SSL) negotiation failed', code=1029)
[DEBUG] [2020-04-25T22:14:14Z] [ff37c010] [mqtt-client] - id=0xff3408e0: user called disconnect.
[ERROR] [2020-04-25T22:14:14Z] [ff37c010] [mqtt-client] - id=0xff3408e0: Connection is not open, and may not be closed
[DEBUG] [2020-04-25T22:14:14Z] [ff37c010] [mqtt-client] - id=0xff3408e0: Destroying connection
[DEBUG] [2020-04-25T22:14:14Z] [ff37c010] [mqtt-topic-tree] - tree=0xff340960: Cleaning up topic tree
[DEBUG] [2020-04-25T22:14:14Z] [ff37c010] [mqtt-client] - client=0xfe8bff28: Cleaning up MQTT client
[DEBUG] [2020-04-25T22:14:14Z] [ff37c010] [channel-bootstrap] - id=0xff3109a0: releasing bootstrap reference
[DEBUG] [2020-04-25T22:14:14Z] [ff37c010] [channel-bootstrap] - id=0xff3109a0: destroying
うーん....最近、暗号設定を更新しました。 TLSハンドシェイクのwiresharkキャプチャを取得し、クライアントとサーバーのhelloメッセージを投稿できる可能性はありますか?
JonathanHenson
2020年04月26日
ねえ@ JonathanHenson @ graebmこれが
ECDSAをサポートするはずのマスターでS2Nのバージョンをプルしようとしましたが、少なくとも私のシステムでは、RSAコードからECDSAキーを使用しようとするため、これも失敗しました。 私はそれを修正してS2Nにプルリクエストを送信することを計画していましたが、うまくいきませんでした。
私は現在、チャレンジステップ中に常にRSAを使用するようにネゴシエートするCPPv2SDKのv1.5.1を使用しています。
jsakwa
2020年04月26日
さて、私は今どこを見るべきか知っていますが、私がこのs2nの側面を調べることができるように、ハンドシェイクキャプチャを取得できる可能性はありますか?
JonathanHenson
2020年04月26日
こんにちは@JonathanHenson 、次で十分でしょうか?
クライアントこんにちは:
サーバーこんにちは:
ハンドシェーク:
adolfogc
2020年04月26日
アラートはクライアントまたはサーバーから送信されましたか?
また、SNIが空のように見えますか? それはまた交渉が失敗する原因となるでしょう。 サーバー名には何を設定していますか?
JonathanHenson
2020年04月27日
@JonathanHenson古いエンドポイント( <endpoint-id>.iot.us-east-1.amazonaws.com )を使用していましたが、ATSのもの( <endpoint-id>-ats.iot.us-east-1.amazonaws.com )に切り替えたところ、動作するようになりました。 ご協力いただきありがとうございます!
adolfogc
2020年04月27日
https://aws.amazon.com/blogs/iot/aws-iot-core-ats-endpoints/によると、できるだけ早く-ats 、 @ adolfogc 、@
mkozjak
2020年04月27日
@mkozjakやりましたが、問題は解決しました
adolfogc
2020年04月27日
ここでその投稿へのリンクを共有してくれたマリオに感謝します。 繰り返しますが: https :
V2デバイスSDKのデフォルト構成は、古い非ATSエンドポイントでは機能しなくなります。 aws --region <region> iot describe-endpoint --endpoint-type "iot:Data-ATS"を実行して、ATSエンドポイントを取得します。
DavidOgunsAWS
2020年05月06日
.atsエンドポイントを使用しているにもかかわらずawsiot python sdk v2を使用すると、TLSネゴシエーションの失敗が続くことがありましたが、awsブログで提案されているように、ルート証明書をAmazonRootCA1証明書に切り替えることで問題を解決できました。 G2-RootCA1証明書。
LaurensonR
2020年06月30日
やあ、
Windows10、Ubuntu18、MacOSの両方の複数の環境で試しても、古いSDKからv2(v1.5.0)に移行すると、このエラーが2時間発生しました。
古いSDKの例basicPubSub.pyは、私のキー、証明書、rootCA1でのみ機能します
しかし、新しいSDKの例pubsub.pyは、同じキーとポリシーでは機能しません
[ERROR] [2020-09-25T11:11:31Z] [00004ed8] [socket] - id=000001A7825DF580 handle=0000000000000320: connect completion triggered with error -1073741305
[ERROR] [2020-09-25T11:11:31Z] [00004ed8] [socket] - id=000001A7825DF580 handle=0000000000000320: connection error with code 1055
[INFO] [2020-09-25T11:11:31Z] [00004ed8] [dns] - id=000001A7802A2780: recording failure for record xxx for xxx-ats.iot.ap-southeast-1.amazonaws.com, moving to bad list
[ERROR] [2020-09-25T11:11:31Z] [00004ed8] [tls-handler] - id=000001A782BE3580: Error during negotiation. SECURITY_STATUS is -2146892953
[ERROR] [2020-09-25T11:11:31Z] [00004ed8] [socket] - id=000001A7825E0C00 handle=000000000000032C: WriteFile() failed with error 64
私はそれが機能するようにポートを入力する必要があります、それがあなたにも役立つことを願っています。
mqtt_connection_builder.mtls_from_path(
...
port=8883)
よろしく、
ジャスティン
justindannguyen
2020年09月25日
ジャスティンに問題が発生してすみません。 サンプルのreadmeに記載されているpubsubのサンプルポリシーを試しましたか?
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:Publish",
"iot:Receive"
],
"Resource": [
"arn:aws:iot:region:account:topic/test/topic"
]
},
{
"Effect": "Allow",
"Action": [
"iot:Subscribe"
],
"Resource": [
"arn:aws:iot:region:account:topicfilter/test/topic"
]
},
{
"Effect": "Allow",
"Action": [
"iot:Connect"
],
"Resource": [
"arn:aws:iot:region:account:client/test-*"
]
}
]
}
それでも問題が解決しない場合は、新しい問題を開いてください。 クローズされた問題に関するメッセージが表示されることを保証することはできません。
jmklix
2020年09月25日
関連する問題
GauravPatni
·
4コメント
Sanrro10
·
16コメント
mkozjak
·
8コメント
victorct-pronto
·
3コメント
satay99
·
6コメント
最も参考になるコメント
@JonathanHenson古いエンドポイント(
<endpoint-id>.iot.us-east-1.amazonaws.com)を使用していましたが、ATSのもの(<endpoint-id>-ats.iot.us-east-1.amazonaws.com)に切り替えたところ、動作するようになりました。 ご協力いただきありがとうございます!