SSL_connect devuelto=1 errno=0 peeraddr=162.243.189.2:443 estado=error: verificación de certificado fallida (coincidencia de nombre de host incorrecta)

Me estoy quedando sin espacio en mi Digital Ocean Droplet, así que quería mover los archivos subidos a un Digital Ocean Space.
Esto es lo que tengo configurado…

• s3 access key id - Copiado de DO CP > API > Aplicaciones y API

• s3 secret access key - Copiado de DO CP > API > Aplicaciones y API

• s3 region - No estoy seguro si importa para los DO Spaces, pero lo dejé por defecto - US East (N. Virginia)

• s3 upload bucket - No tengo claro si debo crear una carpeta en el Space o no. Intenté ambas cosas…

  • uploads - que NO tiene una carpeta creada en el Space previamente
  • files - que SÍ tiene una carpeta creada en el Space previamente

• s3 endpoint - Aquí es donde creo que me equivoco. Intenté las versiones https de…

  • ouralias.nyc3.digitaloceanspaces.com - la URL del Endpoint de Origen de DO

  • ourdomain.com
    ○ Con uploads.ourdomain.com configurado en Cloudflare como un alias de ours.nyc3.digitaloceanspaces.com. No hay forma de configurarlo en OD Domains porque solo está configurado con d.ourdomain.com y no
    ○ Error al subir una imagen… Solicitud mal formada

  • d.ourdomain.com (nuestro Discourse está bajo un subdominio)
    ○ Con la configuración tanto en DO CP > Redes > Dominios como en Cloudflare como un alias de ours.nyc3.digitaloceanspaces.com.
    ○ Error al subir una imagen… Fallo al abrir conexión TCP a uploads.d.ourdomain.com:443 (getaddrinfo: Nombre o servicio desconocido)

  • uploads.d.ourdomain.com (dice que no es seguro por el tercer nivel) con la configuración tanto en DO CP > Redes > Dominios como en Cloudflare como un alias de ours.nyc3.digitaloceanspaces.com.
    ○ Total TLS error messages · Cloudflare SSL/TLS docs
    ○ Error al subir una imagen… Fallo al abrir conexión TCP a uploads.d.ourdomain.com:443 (getaddrinfo: Nombre o servicio desconocido)

Vi esto…

…y esto…

Pero mi configuración no se muestra en la interfaz de administración, así que creo que esto puede no estar desactualizado y es solo cuestión de obtener la combinación correcta de configuración.

Vi esto…

…pero el área de administración no me permite dejar “s3 upload bucket” vacío, así que no estaba seguro si eso estaba relacionado. Eso también parecía ser solo si usas AWS S3 también. Intenté crear una carpeta en mi DO Space y usar ese nombre de carpeta. Intenté usar un nombre diferente de una carpeta que no estaba allí, en caso de que necesite crear la suya propia. Nada de eso funcionó.

Vi esto…

…pero estoy lejos de ser un experto, así que me alejé de eso.

En este punto, me he quedado sin ideas para probar y no estoy seguro si estoy cerca y solo necesito la configuración correcta o si me falta algo por completo y no estoy ni cerca.

Cualquier ayuda sería muy apreciada. Gracias.

Además, he intentado las credenciales de la API de DO como…

• uploads.ourdomain.com

• uploads.d.ourdomain.com

• discourseuploads.d.ourdomain.com

No estoy seguro de con qué se supone que debe coincidir, así que también estoy un poco desconcertado con eso.

No, no lo está. Si bien puedes configurar los puntos finales de S3 en la interfaz de usuario, solo probamos y validamos el uso de los clones de S3, como la oferta de Digital Ocean, al configurarlo en el archivo app.yml.

La wiki Configurar un proveedor de almacenamiento de objetos compatible con S3 para cargas requirió mucho trabajo de muchas personas, por lo que recomiendo seguirla.

Bueno, Falco se me adelantó, pero aquí está lo que estaba diciendo…

No. Necesitas seguir Configure an S3 compatible object storage provider for uploads y poner las configuraciones en tu app.yml.

Necesitas una CDN real como bunny.net. No creo que cloudflare sirva.

Gracias.

No veo una sección en app.yml para la configuración de DISCOURSE_S3. ¿Simplemente creo una línea para cada una? ¿O es eso lo que hacen los comandos sudo?

No tengo muy claro dónde ejecutar o colocar esos comandos sudo. No está claro si es un elemento de línea de comandos único para agregarlo o si es algo que tiene que ir en app.yml para que siempre se tenga en cuenta.

¿Los comandos sudo van en el área de app.yml o solo las líneas de configuración de DISCOURSE_S3?

¿Simplemente dejo esto en blanco con DO Spaces? DISCOURSE_S3_REGION:

¿Tengo que tener una CDN? Tenemos muy poco tráfico. Grupo pequeño. Realmente estoy tratando de limitar las partes móviles si es posible.

Esto…

…va debajo de # plugins hasta aquí en el…

hooks:

…área, después de la sección…

after_code:?

OK. He agregado el after_assets_precompile…

image620×308 25.3 KB

Lo reconstruí y todavía no veo una sección de S3.

¿Simplemente creo una?
¿Importa dónde pongo la configuración?

Como se dijo en la guía, deben ir en la sección env:, junto con otras configuraciones DISCOURSE_:

¿Hay alguna solución para este problema? Recibí el mismo error al intentar usar Oracle Cloud Storage.

Seguí la wiki configurando en app.yml. Intenté usar s3cmd manual para asegurar una conexión correcta. Pero al subir una imagen en una publicación, recibí el mismo mensaje de error.

Mensaje (se informaron 4 copias)
Excepción del trabajo: SSL_connect devuelto=1 errno=0 peeraddr=134.70.128.1:443 estado=error: verificación de certificado fallida (incompatibilidad de nombre de host)
Rastreo
/usr/local/lib/ruby/3.2.0/net/protocol.rb:46:in `connect_nonblock'
/usr/local/lib/ruby/3.2.0/net/protocol.rb:46:in `ssl_socket_connect'
/usr/local/lib/ruby/3.2.0/net/http.rb:1342:in `connect'
/usr/local/lib/ruby/3.2.0/net/http.rb:1248:in `do_start'
/usr/local/lib/ruby/3.2.0/net/http.rb:1243:in `start'
/usr/local/lib/ruby/3.2.0/delegate.rb:87:in `method_missing'
aws-sdk-core-3.130.2/lib/seahorse/client/net_http/connection_pool.rb:307:in `start_session'
aws-sdk-core-3.130.2/lib/seahorse/client/net_http/connection_pool.rb:100:in `session_for'
aws-sdk-core-3.130.2/lib/seahorse/client/net_http/handler.rb:128:in `session'
aws-sdk-core-3.130.2/lib/seahorse/client/net_http/handler.rb:76:in `transmit'
aws-sdk-core-3.130.2/lib/seahorse/client/net_http/handler.rb:50:in `call'
aws-sdk-core-3.130.2/lib/seahorse/client/plugins/content_length.rb:24:in `call'
aws-sdk-core-3.130.2/lib/seahorse/client/plugins/request_callback.rb:85:in `call'
aws-sdk-s3-1.114.0/lib/aws-sdk-s3/plugins/s3_signer.rb:132:in `call'
aws-sdk-s3-1.114.0/lib/aws-sdk-s3/plugins/s3_signer.rb:63:in `call'
aws-sdk-s3-1.114.0/lib/aws-sdk-s3/plugins/s3_host_id.rb:17:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/xml/error_handler.rb:10:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/transfer_encoding.rb:26:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/helpful_socket_errors.rb:12:in `call'
aws-sdk-s3-1.114.0/lib/aws-sdk-s3/plugins/s3_signer.rb:110:in `call'
aws-sdk-s3-1.114.0/lib/aws-sdk-s3/plugins/redirects.rb:20:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/retry_errors.rb:360:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/retry_errors.rb:394:in `retry_request'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/retry_errors.rb:382:in `retry_if_possible'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/retry_errors.rb:371:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/retry_errors.rb:394:in `retry_request'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/retry_errors.rb:382:in `retry_if_possible'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/retry_errors.rb:371:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/retry_errors.rb:394:in `retry_request'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/retry_errors.rb:382:in `retry_if_possible'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/retry_errors.rb:371:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/http_checksum.rb:19:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/endpoint_pattern.rb:30:in `call'
aws-sdk-s3-1.114.0/lib/aws-sdk-s3/plugins/accelerate.rb:67:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/checksum_algorithm.rb:136:in `call'
aws-sdk-s3-1.114.0/lib/aws-sdk-s3/plugins/bucket_dns.rb:35:in `call'
aws-sdk-s3-1.114.0/lib/aws-sdk-s3/plugins/dualstack.rb:41:in `call'
aws-sdk-s3-1.114.0/lib/aws-sdk-s3/plugins/expect_100_continue.rb:22:in `call'
aws-sdk-s3-1.114.0/lib/aws-sdk-s3/plugins/bucket_name_restrictions.rb:26:in `call'
aws-sdk-s3-1.114.0/lib/aws-sdk-s3/plugins/arn.rb:62:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/rest/handler.rb:10:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/recursion_detection.rb:18:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/user_agent.rb:13:in `call'
aws-sdk-core-3.130.2/lib/seahorse/client/plugins/endpoint.rb:47:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/param_validator.rb:26:in `call'
aws-sdk-s3-1.114.0/lib/aws-sdk-s3/plugins/arn.rb:88:in `call'
aws-sdk-core-3.130.2/lib/seahorse/client/plugins/raise_response_errors.rb:16:in `call'
aws-sdk-s3-1.114.0/lib/aws-sdk-s3/plugins/sse_cpk.rb:24:in `call'
aws-sdk-s3-1.114.0/lib/aws-sdk-s3/plugins/dualstack.rb:27:in `call'
aws-sdk-s3-1.114.0/lib/aws-sdk-s3/plugins/accelerate.rb:56:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/checksum_algorithm.rb:111:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/jsonvalue_converter.rb:22:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/idempotency_token.rb:19:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/param_converter.rb:26:in `call'
aws-sdk-core-3.130.2/lib/seahorse/client/plugins/request_callback.rb:71:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/response_paging.rb:12:in `call'
aws-sdk-core-3.130.2/lib/aws-sdk-core/plugins/response_target.rb:24:in `call'
aws-sdk-core-3.130.2/lib/seahorse/client/request.rb:72:in `send_request'
aws-sdk-s3-1.114.0/lib/aws-sdk-s3/client.rb:10921:in `put_bucket_policy'
/var/www/discourse/lib/s3_inventory.rb:183:in `update_bucket_policy'
/var/www/discourse/app/jobs/regular/update_s3_inventory.rb:16:in `block in execute'
/var/www/discourse/app/jobs/regular/update_s3_inventory.rb:14:in `each'
/var/www/discourse/app/jobs/regular/update_s3_inventory.rb:14:in `execute'
/var/www/discourse/app/jobs/base.rb:292:in `block (2 levels) in perform'
rails_multisite-5.0.0/lib/rails_multisite/connection_management.rb:82:in `with_connection'
/var/www/discourse/app/jobs/base.rb:279:in `block in perform'
/var/www/discourse/app/jobs/base.rb:275:in `each'
/var/www/discourse/app/jobs/base.rb:275:in `perform'
sidekiq-6.5.12/lib/sidekiq/processor.rb:202:in `execute_job'
sidekiq-6.5.12/lib/sidekiq/processor.rb:170:in `block (2 levels) in process'
sidekiq-6.5.12/lib/sidekiq/middleware/chain.rb:177:in `block in invoke'
/var/www/discourse/lib/sidekiq/pausable.rb:134:in `call'
sidekiq-6.5.12/lib/sidekiq/middleware/chain.rb:179:in `block in invoke'
sidekiq-6.5.12/lib/sidekiq/middleware/chain.rb:182:in `invoke'
sidekiq-6.5.12/lib/sidekiq/processor.rb:169:in `block in process'
sidekiq-6.5.12/lib/sidekiq/processor.rb:136:in `block (6 levels) in dispatch'
sidekiq-6.5.12/lib/sidekiq/job_retry.rb:113:in `local'
sidekiq-6.5.12/lib/sidekiq/processor.rb:135:in `block (5 levels) in dispatch'
sidekiq-6.5.12/lib/sidekiq.rb:44:in `block in <module:Sidekiq>'
sidekiq-6.5.12/lib/sidekiq/processor.rb:131:in `block (4 levels) in dispatch'
sidekiq-6.5.12/lib/sidekiq/processor.rb:263:in `stats'
sidekiq-6.5.12/lib/sidekiq/processor.rb:126:in `block (3 levels) in dispatch'
sidekiq-6.5.12/lib/sidekiq/job_logger.rb:13:in `call'
sidekiq-6.5.12/lib/sidekiq/processor.rb:125:in `block (2 levels) in dispatch'
sidekiq-6.5.12/lib/sidekiq/job_retry.rb:80:in `global'
sidekiq-6.5.12/lib/sidekiq/processor.rb:124:in `block in dispatch'
sidekiq-6.5.12/lib/sidekiq/job_logger.rb:39:in `prepare'
sidekiq-6.5.12/lib/sidekiq/processor.rb:123:in `dispatch'
sidekiq-6.5.12/lib/sidekiq/processor.rb:168:in `process'
sidekiq-6.5.12/lib/sidekiq/processor.rb:78:in `process_one'
sidekiq-6.5.12/lib/sidekiq/processor.rb:68:in `run'
sidekiq-6.5.12/lib/sidekiq/component.rb:8:in `watchdog'
sidekiq-6.5.12/lib/sidekiq/component.rb:17:in `block in safe_thread'

¡Gracias de antemano!

PD: No solo Oracle Cloud Service, sino también otro proveedor de servicios nacional.

¿Quizás estás accediendo al bucket con el nombre incorrecto?

¿Qué proveedor de bucket estás utilizando?

Como mencioné anteriormente: Estoy probando con Oracle Cloud Storage. Y he comprobado manualmente con la herramienta s3cmd con la misma cuenta.

Y no hay forma de equivocarse con el nombre, porque solo copio y pego.

Compruebo el DNS del endpoint de S3:

dig axhjdarc4cuy.compat.objectstorage.ap-singapore-1.oraclecloud.com

;; <<>> DiG 9.18.18-0ubuntu0.22.04.1-Ubuntu <<>> axhjdarc4cuy.compat.objectstorage.ap-singapore-1.oraclecloud.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63008
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;axhjdarc4cuy.compat.objectstorage.ap-singapore-1.oraclecloud.com. IN A

;; ANSWER SECTION:
axhjdarc4cuy.compat.objectstorage.ap-singapore-1.oraclecloud.com. 258 IN CNAME compat.objectstorage.ap-singapore-1.oci.oraclecloud.com.
compat.objectstorage.ap-singapore-1.oci.oraclecloud.com. 258 IN	CNAME objectstorage.ap-singapore-1.oci.oraclecloud.com.
objectstorage.ap-singapore-1.oci.oraclecloud.com. 174 IN A 134.70.128.1

;; AUTHORITY SECTION:
ap-singapore-1.oci.oraclecloud.com. 258	IN SOA	ns1.p200.dns.oraclecloud.net. hostmaster.ap-singapore-1.oci.oraclecloud.com. 682052 3600 900 31536000 1800

;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Sat Nov 04 18:58:03 +07 2023
;; MSG SIZE  rcvd: 252

Y usando la dirección de destino: objectstorage.ap-singapore-1.oci.oraclecloud.com en lugar del nombre original: axhjdarc4cuy.compat.objectstorage.ap-singapore-1.oraclecloud.com

Entonces obtuve el mensaje de error exacto en la herramienta s3cmd como muestra Discourse:

Please wait, attempting to list all buckets...
ERROR: Test failed: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: Hostname mismatch, certificate is not valid for 'objectstorage.ap-singapore-1.oci.oraclecloud.com'. (_ssl.c:1007)

No tengo experiencia con este problema.

Así que el problema podría ser este:

• El certificado SSL se emite para: *.compat.objectstorage.ap-singapore-1.oraclecloud.com
• El último dominio es diferente del certificado SSL: objectstorage.ap-singapore-1.oci.oraclecloud.com

¿Hay alguna forma de solucionar este problema? ¡Gracias!

Use un nombre que coincida con el certificado.

Después de muchos intentos, sigo recibiendo el mismo mensaje de error. Revisé manualmente el certificado y el nombre de host, usé el formato correcto para obtener el certificado correcto a simple vista, pero sin éxito.

Mi endpoint: ..compat.objectstorage.oraclecloud.com
El CN del certificado: *.compat.objectstorage..oraclecloud.com

Pude conectarme con la herramienta s3cmd. Pero no pude configurar la carga de S3 para Discourse con la misma configuración.

El mensaje de error: SSL_connect returned=1 errno=0 peeraddr=134.70.128.1:443 state=error: certificate verify failed (Hostname mismatch)

Quiero probar otra forma configurando en el entorno ruby (buscando por todas partes):

OpenSSL::SSL::VERIFY_PEER = OpenSSL::SSL::VERIFY_NONE

Pero, ¿cómo puedo configurar esto en Discourse? ¡Por favor!

Esta es una mala idea, ya que socavará muchas de las protecciones que brindan los certificados X509.

¿Puedes mostrar cuáles son tus configuraciones no secretas aquí? Ten en cuenta que Oracle Cloud no es compatible, pero aún así echaremos un vistazo rápido para ver si hay algo obviamente mal.

Sí, tienes razón al apagarlo. Solo quiero encontrar la razón para hacer una PR si esto es un error en la biblioteca de Ruby.

Mi configuración es muy simple, solo intento subir imágenes a un almacenamiento compatible con S3.

  DISCOURSE_USE_S3: true
  DISCOURSE_S3_REGION: <region>
  DISCOURSE_S3_ENDPOINT: https://<namespace>.compat.objectstorage.<region>.oraclecloud.com
  DISCOURSE_S3_ACCESS_KEY_ID: <access_key_id>
  DISCOURSE_S3_SECRET_ACCESS_KEY: <access_key>
  DISCOURSE_S3_BUCKET: <bucket_name>

Oracle Cloud Storage tiene un formato para la dirección del endpoint. Pero sin importar el formato que intenté, el mismo mensaje de error que mostré anteriormente.

SSL_connect returned=1 errno=0 peeraddr=134.70.128.1:443 state=error: certificate verify failed (Hostname mismatch)

El formato anterior, he comprobado el certificado y es correcto a mi parecer:

image551×703 39.1 KB

Como dije antes, usé esta configuración para conectarme con la herramienta s3cmd normalmente. ¡Muchas gracias!

OK, añadí un binding.pry al inicio de ssl_socket_connect y esto es lo que veo al intentar usar estas configuraciones:

→ DISCOURSE_USE_S3=true DISCOURSE_S3_REGION=ap-singapore-1 DISCOURSE_S3_ENDPOINT=https://axhjdarc4cuy.compat.objectstorage.ap-singapore-1.oraclecloud.com DISCOURSE_S3_ACCESS_KEY_ID=foo DISCOURSE_S3_SECRET_ACCESS_KEY=bar DISCOURSE_S3_BUCKET=bucketname bin/rails c
Loading development environment (Rails 7.0.7)
[1] pry(main)> s3 = S3Helper.build_from_config; s3.list

From: /home/michael/.rvm/gems/ruby-3.2.2@discourse/gems/net-protocol-0.2.2/lib/net/protocol.rb:42 Net::Protocol#ssl_socket_connect:

    40: def ssl_socket_connect(s, timeout)
    41:   binding.pry
 => 42:   if timeout
    43:     while true
    44:       raise Net::OpenTimeout if timeout <= 0
    45:       start = Process.clock_gettime Process::CLOCK_MONOTONIC
    46:       # to_io is required because SSLSocket doesn't have wait_readable yet
    47:       case s.connect_nonblock(exception: false)
    48:       when :wait_readable; s.to_io.wait_readable(timeout)
    49:       when :wait_writable; s.to_io.wait_writable(timeout)
    50:       else; break
    51:       end
    52:       timeout -= Process.clock_gettime(Process::CLOCK_MONOTONIC) - start
    53:     end
    54:   else
    55:     s.connect
    56:   end
    57: end

[1] pry(#<Net::HTTP>)>> s.hostname
=> "bucketname.axhjdarc4cuy.compat.objectstorage.ap-singapore-1.oraclecloud.com"

por lo que el nombre de host real al que se está conectando es bucketname.axhjdarc4cuy.compat.objectstorage.ap-singapore-1.oraclecloud.com, que no coincide con *.compat.objectstorage.ap-singapore-1.oraclecloud.com, por lo que el error es correcto.

Desafortunadamente, OCI no admite este estilo de acceso:

Use el acceso basado en rutas en su aplicación. El acceso de estilo de host virtual (acceder a un bucket como {bucketnamespace}.compat.objectstorage.{region}.oraclecloud.com [sic]) no es compatible.

Por el contrario, Discourse solo admite el acceso de estilo de host virtual ({bucketname}.{namespace}.compat.objectstorage.{region}.oraclecloud.com.).

Eliminamos la configuración que podría haberlo hecho funcionar hace un tiempo, ya que no estaba bien soportada (ver el mensaje del commit).

Hacer que esto funcione no será sencillo y requerirá un desarrollo y pruebas complejos para agregar este soporte.

Aquí hay dragones.

(xref: S3 Path Style Access)

¡Explica muy claramente. Muchas gracias!

Gracias, pero nunca lo resolví.

Encontré a lo que se refería, pero luego, cuando copio y pego texto, invierte las mayúsculas y minúsculas. Me rindo y no volví a intentarlo. Puede que lo intente de nuevo el año que viene.

Esperaba que alguien lo resolviera mientras tanto y documentara mejor la configuración para que coincidiera con mis planes.

Gracias de todos modos.

Estaba teniendo este problema y lo solucioné. Mi solución fue que cuando lo configuré, mi servidor de correo no estaba verificado por SSL, pero el proveedor de mi dominio sí me dio un servidor de correo verificado por SSL, así que los reemplacé.