cUrl для HTTPS-адреса / домена истекает, если ранее к нему не обращались из браузера

Я потерял пару дней из-за этой проблемы и надеюсь, что это заставит кого-то задуматься.

Я объединяю несколько систем вместе, используя сценарии Powershell. К одной из двух служб, к которым я подключаюсь (размещенная JIRA), можно получить доступ из моей локальной системы, но скрипт завершится ошибкой при запуске с одной из моих виртуальных машин. Случайно я обнаружил, что если я открою / обновлю браузер на сервере для URL-адреса HTTPS для этого хоста, тогда скрипт сможет получить доступ к API через HTTPS в течение примерно 20-30 секунд после этого.

Я получаю сообщение об ошибке тайм-аута, когда подключаюсь к серверу и пытаюсь сделать это из консоли PowerShell. Затем я подтвердил, что такое же поведение происходит с cUrl (подробный вывод включен ниже). Затем обновление браузера с этим доменом позволяет обоим получать доступ к URL-адресам HTTPS в течение короткого периода времени. Похоже, что время ожидания исходного соединения истекло до согласования SSL.

Типичная команда PoSH:

Invoke-RestMethod -Method Get -Uri "https://MYDOMAIN.atlassian.net/rest/api/2/issue/PLPT-1?fields=key,id,status"-Headers @ {" Authorization "=" Basic "+ [System.Convert] :: ToBase64String ([System.Text.Encoding] :: UTF8.GetBytes ('USERNAME: PASSWORD'))}

Типичная команда cUrl:

curl.exe "https://MYDOMAIN.atlassian.net/rest/api/2/issue/PLPT-1?fields=key,id,status"-u" ИМЯ ПОЛЬЗОВАТЕЛЯ: ПАРОЛЬ "-v -X ПОЛУЧИТЬ

Я много копал в этом вопросе и довольно озадачен. Я действительно пробовал использовать Wireshark, чтобы копать глубже, но прошло много лет с тех пор, как я использовал анализатор пакетов, а я уже заржавел и должен изучить пользовательский интерфейс.

Исправление проблем:

Вот вопросы / ответы, которые я мог придумать, пытаясь изолировать проблему:

• Это PowerShell?
  • Использование cUrl также истекает
• Это все HTTPS?
  • https://google.com/ отлично работает без тайм-аута
  • https://localhost/... отлично работает без тайм-аута
• Это система, которая когда-либо обращалась к JIRA через браузер?
  • Я подтвердил, что мой домашний рабочий стол может подключаться через PoSH, несмотря на то, что никогда не обращался к JIRA.
• Это хост, DC или ОС?
  • Это виртуальная машина 2008 R2 в Azure, я убедился, что команды PoSH и cUrl работают нормально на второй виртуальной машине Azure под управлением 2008 R2.
• Брандмауэр, антивирус?
  • Отключены антивирус и брандмауэр, cUrl + PoSH по-прежнему истекает
• Пользовательский агент?
  • Включение пользовательского агента не повлияло на проблемную систему или рабочие системы
• Что говорит Скрипач?
  • Fiddler с расшифровкой SSL вызывал ошибки шлюза вместо таймаутов, я не копал глубже
• Может, это проблема с сетью Atlassian? Периодическое подключение?
  • Я постоянно получал ошибки с моего сервера, и он постоянно работал везде, где я пробовал
  • Я выполнил 10 вызовов подряд на сервере и локально и получил отличную отдачу от 10 локальных и идеальных тайм-аутов с сервера. После выполнения трюка с обновлением браузера на сервере у меня было 10 идеальных ответов подряд.
• Как это выглядит в Wireshark?
  • С cUrl: Wireshark показывает, что исходный вызов TCP вышел, но он не подтвержден, поэтому вы увидите две попытки повторной передачи TCP
  • С cUrl после загрузки браузера: Wireshark показывает, что первый вызов TCP подтвержден, а затем все работает, как ожидалось

В течение короткого периода времени мне казалось, что cUrl работает стабильно. Я использовал -3-4 для принудительного использования адресов SSL3 и ipv4, и, похоже, он работал без необходимости настраивать соединение с помощью веб-браузера. К сожалению, после перезагрузки это больше не работает.

Методы, которые я пробовал на сервере:

• cUrl, cUrl с -3-4
• PoSH: Invoke-RestMethod, Invoke-WebRequest, WebClient, WebRequest / WebResponse, установка SSL по умолчанию на SSL3 через ServicePointManager, установка прокси и учетных данных прокси через системные значения по умолчанию, если они есть (насколько мне известно)
• IE: работает
• Chrome: работает

cUrl Вывод

Вот пример вывода cUrl. У меня уже есть браузер, открытый для https://MYDOMAIN.atlassian.net (он находится на экране входа в систему), но я оставил его на некоторое время, чтобы соединение было устаревшим.

cUrl перед обновлением браузера:

* Hostname was NOT found in DNS cache
*   Trying 165.254.226.145...
* connect to 165.254.226.145 port 443 failed: Timed out
* Failed to connect to MYDOMAIN.atlassian.net port 443: Timed out
* Closing connection 0

Вывод cUrl при запуске сразу после обновления браузера:

* Hostname was NOT found in DNS cache
*   Trying 165.254.226.145...
* Connected to MYDOMAIN.atlassian.net (165.254.226.145) port 443 (#0)
* successfully set certificate verify locations:
*   CAfile: C:\Users\Administrator\AppData\Local\Apps\cURL\bin\curl-ca-bundle.crt
  CApath: none
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
... rest of handshake and HTML for a 401 error page because I didn't force pre-authentication ...

Обновлено

Я добавил результаты Wireshark к вопросам выше.

Теперь я также обнаружил, что если я запускаю команду cUrl и отменяю ее до истечения времени ожидания, а затем немедленно запускаю ее снова, это будет успешно. если я позволю команде cUrl тайм-аут, а затем немедленно запустить ее снова, она снова истечет.

Если я запустил команду PoSH и отменил ее до истечения времени ожидания, а затем сразу же запустил ее снова, я действительно смогу запустить ее 5+ раз подряд.

Это определенно что-то связанное с сетью, я собираюсь посмотреть, дойдет ли повторный запуск команды в конечном итоге до точки, когда время снова истечет, или если отмена первого вызова каким-то образом позволяет мне продолжать делать последующие вызовы, пока я могу ( что может быть возможно, я думаю, что PoSH использует сохранение активности после создания начального соединения).