(시리즈 글이 6개 있습니다.)

.NET Framework: 490. System.Data.SqlClient는 SSL 3.0/TLS 1.0만 지원하는 듯!
; https://www.sysnet.pe.kr/2/0/1833

개발 환경 구성: 254. SQL 서버 역시 SSL 3.0/TLS 1.0만을 지원하는 듯!
; https://www.sysnet.pe.kr/2/0/1835

.NET Framework: 2127. C# - Ubuntu + Microsoft.Data.SqlClient + SQL Server 2008 R2 연결 방법
; https://www.sysnet.pe.kr/2/0/13364

개발 환경 구성: 678. openssl로 생성한 인증서를 SQL Server의 암호화 인증서로 설정하는 방법
; https://www.sysnet.pe.kr/2/0/13368

개발 환경 구성: 680. C# - Ubuntu + Microsoft.Data.SqlClient + SQL Server 2008 R2 연결 방법 - TLS 1.2 지원
; https://www.sysnet.pe.kr/2/0/13370

개발 환경 구성: 682. SQL Server TLS 통신을 위해 사용되는 키 길이 확인 방법
; https://www.sysnet.pe.kr/2/0/13372

SQL Server TLS 통신을 위해 사용되는 키 길이 확인 방법

지난 글에서,

C# - Ubuntu + Microsoft.Data.SqlClient + SQL Server 2008 R2 연결 방법
; https://www.sysnet.pe.kr/2/0/13364

해당 현상은 (SQL Server 2012, 2014 버전은 테스트가 필요하지만, 적어도) SQL Server 2016 (버전 13.x)에서는 발생하지 않는다고 했습니다. 달리 말하면, 해당 버전부터는 2048비트 길이의 키를 가진 인증서가 생성돼 있다고 짐작할 수 있습니다.

정말 그런지 테스트해 봐야겠죠? ^^

마침 가지고 있던 테스트 PC 중에 SQL Server 2016 Express 버전이 설치된 것이 있길래 get_tds_cert.py를 실행했더니,

c:\temp> python get_tds_cert.py 192.168.100.50 1433
Traceback (most recent call last):
  File "get_tds_cert.py", line 86, in <module>
    s.connect(( hostname, port ))
socket.timeout: timed out

1433 포트로 연결이 안 됩니다. 실제로 SQL Server 2016 Express 측에는 1433 포트로 LISTENING하고 있는 소켓이 없습니다.

// SQL Server 2016 Experss 버전이 설치된 컴퓨터

C:\WINDOWS\system32> netstat -ano | findstr 1433

C:\WINDOWS\system32>

왜냐하면 Express 버전의 경우 동적 포트를 사용하게 되는데, 이 번호를 알려면 "Sql Server Configuration Manager"를 실행해 다음과 같이 "SQL Server Network Configuration" 노드의 "Protocols for SQLEXPRESS" 속성 창을 통해 구해야 합니다.

C:\WINDOWS\system32> netstat -ano | findstr 47000
  TCP    0.0.0.0:47000          0.0.0.0:0              LISTENING       11588
  TCP    [::]:47000             [::]:0                 LISTENING       11588

그럼, 이렇게 인증서를 조회할 수 있고,

c:\temp> python get_tds_cert.py 192.168.100.50 47000

# get_tdspacket: 0, tdspacket len: 43
# Header:  {'type': 4, 'status': 1, 'length': 43, 'channel': 0, 'packet': 1, 'window': 0}
# Remaining tdspbuf length: 0

# Starting TLS handshake loop..
# Shaking (0/5)

# get_tdspacket: 0, tdspacket len: 1249
# Header:  {'type': 18, 'status': 1, 'length': 1249, 'channel': 0, 'packet': 0, 'window': 0}
# Remaining tdspbuf length: 0

# Shaking (1/5)

# get_tdspacket: 0, tdspacket len: 59
# Header:  {'type': 18, 'status': 1, 'length': 59, 'channel': 0, 'packet': 0, 'window': 0}
# Remaining tdspbuf length: 0

# Handshake completed, dumping certificates
-----BEGIN CERTIFICATE-----
MIIDADCCAeigAwIBAgIQH5dNyvwxI4ZI58THgmrvnjANBgkqhkiG9w0BAQUFADA7
MTkwNwYDVQQDHjAAUwBTAEwAXwBTAGUAbABmAF8AUwBpAGcAbgBlAGQAXwBGAGEA
...[생략]...
1ZLqpBiCaT6J9AG16QbYJMO0SMLTjHIuwgguSi+tUbydA734ugFtTJw0CHoR1K1x
2pqdlQ==
-----END CERTIFICATE-----

"BEGIN/END CERTIFICATE" 구간을 cer 파일로 저장해 윈도우 탐색기로 보면,

c:\temp> type 2016.cer
-----BEGIN CERTIFICATE-----
MIIDADCCAeigAwIBAgIQH5dNyvwxI4ZI58THgmrvnjANBgkqhkiG9w0BAQUFADA7
MTkwNwYDVQQDHjAAUwBTAEwAXwBTAGUAbABmAF8AUwBpAGcAbgBlAGQAXwBGAGEA
...[생략]...
1ZLqpBiCaT6J9AG16QbYJMO0SMLTjHIuwgguSi+tUbydA734ugFtTJw0CHoR1K1x
2pqdlQ==
-----END CERTIFICATE-----

2048비트 길이의 키가 사용된 것을 확인할 수 있습니다.

참고로, get_tds_cert.py의 소스코드는 TDS(Tabular data stream) Protocol 중 인증서를 가져오는 부분까지만 구현하고 있기 때문에 원한다면 C# 소스코드로 쉽게(?) 포팅할 수 있을 것입니다. ^^

import sys
import pprint
import struct
import socket
import ssl
from time import sleep 

# Standard "HELLO" message for TDS
prelogin_msg = bytearray([      0x12, 0x01, 0x00, 0x2f, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00, 0x1a, 0x00, 0x06, 0x01, 0x00, 0x20,
                                0x00, 0x01, 0x02, 0x00, 0x21, 0x00, 0x01, 0x03, 0x00, 0x22, 0x00, 0x04, 0x04, 0x00, 0x26, 0x00,
                                0x01, 0xff, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 ])

# Prep Header function
def prep_header(data):
        data_len = len(data)
        prelogin_head = bytearray([ 0x12, 0x01 ])
        header_len = 8
        total_len = header_len + data_len
        data_head = prelogin_head + total_len.to_bytes(2, 'big')
        data_head += bytearray([ 0x00, 0x00, 0x01, 0x00])
        return data_head + data
        
def read_header(data):
    if len(data) != 8:
        raise ValueError("prelogin header is > 8-bytes", data)
    
    format = ">bbhhbb"
    sct = struct.Struct(format)
    unpacked = sct.unpack(data)
    return {    "type": unpacked[0], 
                "status": unpacked[1],
                "length": unpacked[2],
                "channel": unpacked[3],
                "packet": unpacked[4],
                "window": unpacked[5]
    }
    
tdspbuf = bytearray()
def recv_tdspacket(sock):
    global tdspbuf
    tdspacket = tdspbuf
    header = {}
    
    for i in range(0,5):
        tdspacket += sock.recv(4096)
        print("\n# get_tdspacket: {}, tdspacket len: {} ".format(i, len(tdspacket)))
        if len(tdspacket) >= 8:
            header = read_header(tdspacket[:8])
            print("# Header: ", header)
            if len(tdspacket) >= header['length']:
                tdspbuf = tdspacket[header['length']:]
                print("# Remaining tdspbuf length: {}\n".format(len(tdspbuf)))
                return header, tdspacket[8:header['length']]
                
        sleep(0.05)

# Ensure we have a commandline
if len(sys.argv) != 3:
        print("Usage: {} <hostname> <port>".format(sys.argv[0]))
        sys.exit(1)

hostname = sys.argv[1]
port = int(sys.argv[2])


# Setup SSL
if hasattr(ssl, 'PROTOCOL_TLS'):
    sslProto = ssl.PROTOCOL_TLS
else:
    sslProto = ssl.PROTOCOL_SSLv23
    
sslctx = ssl.SSLContext(sslProto)
sslctx.check_hostname = False
tls_in_buf = ssl.MemoryBIO()
tls_out_buf = ssl.MemoryBIO()

# Create the SSLObj connected to the tls_in_buf and tls_out_buf
tlssock = sslctx.wrap_bio(tls_in_buf, tls_out_buf)

# create an INET, STREAMing socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.setblocking(0)
s.settimeout(1)

# Connect to the SQL Server
s.connect(( hostname, port ))

# Send the first TDS PRELOGIN message
s.send(prelogin_msg)

# Get the response and ignore. We will try to negotiate encryption anyway. 
header, data = recv_tdspacket(s)
while header['status']==0:
    header, ext_data = recv_tdspacket(s)
    data += ext_data
    

print("# Starting TLS handshake loop..")
# Craft the packet
for i in range(0,5):
    try:
        tlssock.do_handshake()
        print("# Handshake completed, dumping certificates")
        peercert = ssl.DER_cert_to_PEM_cert(tlssock.getpeercert(True))
        print(peercert)
        sys.exit(0)
    except ssl.SSLWantReadError as err:
        # TLS wants to keep shaking hands, but because we're controlling the R/W buffers it throws an exception
        print("# Shaking ({}/5)".format(i))
    
    tls_data = tls_out_buf.read()
    s.sendall(prep_header(tls_data))
    # TDS Packets can be split over two frames, each with their own headers.
    # We have to concat these for TLS to handle nego properly
    header, data = recv_tdspacket(s)
    while header['status']==0:
        header, ext_data = recv_tdspacket(s)
        data += ext_data
    
    tls_in_buf.write(data)
    
print("# Handshake did not complete / exiting")

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[다음 글] 오류 유형: 865. 파이썬 - pymssql 설치 관련 오류 정리
[이전 글] 개발 환경 구성: 681. openssl - 인증서 버전(V1 / V3)

[최초 등록일: 6/15/2023]
[최종 수정일: 6/15/2023]

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com

No	Writer	Date	Cnt.	Title	File(s)
12565	정성태	3/17/2021	13470	오류 유형: 704. curl.exe 실행 시 dll not found 오류
12564	정성태	3/16/2021	14337	VS.NET IDE: 160. 새 프로젝트 창에 C++/CLI 프로젝트 템플릿이 없는 경우
12563	정성태	3/16/2021	17218	개발 환경 구성: 551. C# - JIRA REST API 사용 정리 (3) jira-oauth-cli 도구를 이용한 키 관리
12562	정성태	3/15/2021	17986	개발 환경 구성: 550. C# - JIRA REST API 사용 정리 (2) JIRA OAuth 토큰으로 API 사용하는 방법	1
12561	정성태	3/12/2021	16740	VS.NET IDE: 159. Visual Studio에서 개행(\n, \r) 등의 제어 문자를 치환하는 방법 - 정규 표현식 사용
12560	정성태	3/11/2021	17755	개발 환경 구성: 549. ssh-keygen으로 생성한 PKCS#1 개인키/공개키 파일을 각각 PKCS8/PEM 형식으로 변환하는 방법
12559	정성태	3/11/2021	18053	.NET Framework: 1028. 닷넷 5 환경의 Web API에 OpenAPI 적용을 위한 NSwag 또는 Swashbuckle 패키지 사용 [2]	1
12558	정성태	3/10/2021	17149	Windows: 192. Power Automate Desktop (Preview) 소개 - Bitvise SSH Client 제어 [1]
12557	정성태	3/10/2021	15364	Windows: 191. 탐색기의 보안 탭에 있는 "Object name" 경로에 LEFT-TO-RIGHT EMBEDDING 제어 문자가 포함되는 문제
12556	정성태	3/9/2021	13591	오류 유형: 703. PowerShell ISE의 Debug / Toggle Breakpoint 메뉴가 비활성 상태인 경우
12555	정성태	3/8/2021	16906	Windows: 190. C# - 레지스트리에 등록된 DigitalProductId로부터 라이선스 키(Product Key)를 알아내는 방법	2
12554	정성태	3/8/2021	16473	.NET Framework: 1027. 닷넷 응용 프로그램을 위한 PDB 옵션 - full, pdbonly, portable, embedded
12553	정성태	3/5/2021	16448	개발 환경 구성: 548. 기존 .NET Framework 프로젝트를 .NET Core/5+ 용으로 변환해 주는 upgrade-assistant, try-convert 도구 소개 [4]
12552	정성태	3/5/2021	15910	개발 환경 구성: 547. github workflow/actions에서 Visual Studio Marketplace 패키지 등록하는 방법
12551	정성태	3/5/2021	14293	오류 유형: 702. 비주얼 스튜디오 - The 'CascadePackage' package did not load correctly. (2)
12550	정성태	3/5/2021	14010	오류 유형: 701. Live Share 1.0.3713.0 버전을 1.0.3884.0으로 업데이트 이후 ContactServiceModelPackage 오류 발생하는 문제
12549	정성태	3/4/2021	15327	오류 유형: 700. VsixPublisher를 이용한 등록 시 다양한 오류 유형 해결책
12548	정성태	3/4/2021	16438	개발 환경 구성: 546. github workflow/actions에서 nuget 패키지 등록하는 방법
12547	정성태	3/3/2021	17090	오류 유형: 699. 비주얼 스튜디오 - The 'CascadePackage' package did not load correctly.
12546	정성태	3/3/2021	16946	개발 환경 구성: 545. github workflow/actions에서 빌드시 snk 파일 다루는 방법 - Encrypted secrets
12545	정성태	3/2/2021	19782	.NET Framework: 1026. 닷넷 5에 추가된 POH (Pinned Object Heap) [10]
12544	정성태	2/26/2021	19982	.NET Framework: 1025. C# - Control의 Invalidate, Update, Refresh 차이점 [2]
12543	정성태	2/26/2021	17973	VS.NET IDE: 158. C# - 디자인 타임(design-time)과 런타임(runtime)의 코드 실행 구분
12542	정성태	2/20/2021	19649	개발 환경 구성: 544. github repo의 Release 활성화 및 Actions를 이용한 자동화 방법 [1]
12541	정성태	2/18/2021	17213	개발 환경 구성: 543. 애저듣보잡 - Github Workflow/Actions 소개
12540	정성태	2/17/2021	18329	.NET Framework: 1024. C# - Win32 API에 대한 P/Invoke를 대신하는 Microsoft.Windows.CsWin32 패키지

AD BLOCK 해제 요청

SQL Server TLS 통신을 위해 사용되는 키 길이 확인 방법