- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
我在 FreeBSD-8.2 中使用 OpenSSL 0.9.8q。我的系统上有 3 个虚拟主机,我想实现 SNI 以在一台服务器中为所有 3 个虚拟主机提供服务。
我有 3 个单独的证书,每个证书一个,在我的 ssl-server 代码中,我必须以某种方式找出客户端请求的域名,并基于此使用适当的证书文件。为此,我编写了一个名为 get_ssl_servername_cb
的函数,并将其作为回调函数传递给 SSL_CTX_set_tlsext_servername_callback
。这样,在回调函数中我可以获得客户端请求的域名。
但我的问题是,这个回调函数是在执行SSL_accept
函数之后执行的,但是我必须在使用SSL_new
命令之前选择并使用适当的证书,这在执行 SSL_accept
之前。
所以我的问题是,如何为 SNI 使用 SSL_CTX_set_tlsext_servername_callback
函数?
最佳答案
but my problem is, this callback function is being executed after execution of "SSL_accept" function, but I have to choose and use the appropriate certificate before using "SSL_new" command, which is way before execution of SSL_accept.
当你启动你的服务器时,你提供了一个默认值 SSL_CTX
.这用于非 SNI 客户端,如 SSLv3 客户端和不使用 SNI 的 TLS 客户端(如 Windows XP)。这是必需的,因为在这种情况下不会调用回调。
这里有一些使用 OpenSSL 的 s_client
的行为的例子。 .模拟非 SNI 客户端,以便您的 get_ssl_servername_cb
没有调用,问题:
openssl s_client -connect localhost:8443 -ssl3
# SNI 添加到 TLSv1openssl s_client -connect localhost:8443 -tls1
# Windows XP 客户端模拟 SNI 客户端,以便您的 get_ssl_servername_cb
被调用,问题:
openssl s_client -connect localhost:8443 -tls1 -servername localhost
您还可以通过添加 -CAfile
来避免证书验证错误.这是我的一个测试脚本(用于在 localhost
上测试 DSS/DSA 证书):
printf "GET / HTTP/1.1\r\n\r\n" | /usr/local/ssl/bin/openssl s_client \
-connect localhost:8443 -tls1 -servername localhost \
-CAfile pki/signing-dss-cert.pem
so my question is, how can I use "SSL_CTX_set_tlsext_servername_callback" function for SNI?
请参阅 <openssl dir>/apps/s_server.c
处的 OpenSSL 源代码;或查看 How to implement Server Name Indication(SNI) on OpenSSL in C or C++? .
在你的get_ssl_servername_cb
(用 SSL_CTX_set_tlsext_servername_callback
设置),您检查服务器名称。出现两种情况之一:您已经有一个 SSL_CTX
服务器名称,或者您需要创建一个 SSL_CTX
服务器名称。
一旦你获取了 SSL_CTX
从缓存或创建一个新的 SSL_CTX
,然后使用 SSL_set_SSL_CTX
在上下文中交换。在 OpenSSL 源文件中有一个在新上下文中交换的示例。查看 s_server.c
的代码(在 <openssl dir>/apps/s_server.c
中)。追踪 ctx2
,
这是我的一个项目中的样子。 IsDomainInDefaultCert
确定请求的服务器名称是否由默认服务器证书提供。如果没有,GetServerContext
获取所需的 SSL_CTX
. GetServerContext
从应用程序级缓存中提取所需的证书;或创建它并将其放入应用程序级缓存(GetServerContext
还在 SSL_CTX
上断言一个引用计数,因此 OpenSSL 库不会从应用程序下删除它)。
static int ServerNameCallback(SSL *ssl, int *ad, void *arg)
{
UNUSED(ad);
UNUSED(arg);
ASSERT(ssl);
if (ssl == NULL)
return SSL_TLSEXT_ERR_NOACK;
const char* servername = SSL_get_servername(ssl, TLSEXT_NAMETYPE_host_name);
ASSERT(servername && servername[0]);
if (!servername || servername[0] == '\0')
return SSL_TLSEXT_ERR_NOACK;
/* Does the default cert already handle this domain? */
if (IsDomainInDefCert(servername))
return SSL_TLSEXT_ERR_OK;
/* Need a new certificate for this domain */
SSL_CTX* ctx = GetServerContext(servername);
ASSERT(ctx != NULL);
if (ctx == NULL)
return SSL_TLSEXT_ERR_NOACK;
/* Useless return value */
SSL_CTX* v = SSL_set_SSL_CTX(ssl, ctx);
ASSERT(v == ctx);
if (v != ctx)
return SSL_TLSEXT_ERR_NOACK;
return SSL_TLSEXT_ERR_OK;
}
在上面的代码中,ad
和 arg
是未使用的参数。我不知道是什么ad
因为我不使用它。 arg
可用于将上下文传递给回调。我不使用 arg
要么,但是s_server.c
使用它来打印一些调试信息(arg
是指向 BIO
的指针,与 stderr
(以及其他一些)相关联,IIRC)。
为了完整性,SSL_CTX
被引用计数并且它们可以被重新使用。一个新创建的 SSL_CTX
计数为 1,委托(delegate)给 OpenSSL 内部缓存机制。当你递上 SSL_CTX
到 SSL
对象,计数递增到 2。当 SSL
对象调用 SSL_CTX_free
在 SSL_CTX
上,该函数将减少引用计数。如果上下文过期且引用计数为 1,则 OpenSSL 库会将其从其内部缓存中删除。
关于c - 使用 SNI 在一个盒子中提供多个域,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22373332/
我开发了一个具有基本安全性的 Spring Boot 应用程序。我有两个具有相同路径和不同 http 方法的端点。当我使用默认密码/使用 application.yml 中给出的密码包含基本安全性时,
我的代码是这样的: 或者,像这样: 如果我首先列出 webm 源,Firefox 4 会播放它,但 Firefox 3.6 也会尝试播放它(但会失败,因为它不支持 webm)。
我希望提供一个泛型类型作为类型参数而不首先将其解析为具体类型。换句话说,我正在寻找一种方法来指定从基类继承时可以使用的类型映射函数。 示例(不正确的)语法,希望比我能解释得更好: abstract c
我在 .NET 中编写了一些桌面应用程序,它们既提供了用于正常使用的前端 GUI,也提供了用于其他需求(例如扩展、调度、自动化、高级使用等)的命令行界面。命名两个可执行文件的最佳做法是什么,因为它们构
我最近在这里思考了很多关于屏幕抓取以及它可能是一项什么样的任务。所以我提出以下问题。 作为网站开发人员,您是否会公开简单的 API 以防止用户抓取屏幕,例如 JSON 结果? 然后这些结果可以实现缓存
我正在为一个项目使用 Dojo 1.9,但我不明白 dojo.provide 的正确替代方案与传统风格相比,AMD 风格。我正在阅读 this文档页面。 很明显,这就是旧语法映射到新语法的方式: 旧
我正在开发一个 Angular 应用程序。当我使用 ng serve 正常运行它时,它运行没有任何错误.但是,当我运行 ng build --prod ,它给出了以下错误。 ERROR in Ille
我有一个 Mac 应用程序。在我的 Mac 应用程序中,我的屏幕之一有一个包含文本字段的 scrollView。在同一屏幕上,我有一个需要提供打印选项的按钮。可以打印文本字段的文本。打印按钮应调用 M
我已经成功地为普通媒体文件提供媒体文件,但是当我尝试提供管理媒体文件时,我失败了。请帮我找出问题所在,因为我已经尝试解决问题几个小时但没有运气(也一直在谷歌搜索并阅读有关提供静态文件的 django
我正在尝试创建一个简单的错误处理项目,它会在收到错误(例如 404、422 或 500)后为 JSON 提供错误数据。我使用来自 this 的代码网站,但它不适合我。 我实际上有这两个类: 基本 Co
假设我有一个名为 Number 的类(class),我打算对 Number 进行大量相等比较对象。我担心通用 Number::equals(Object o) 的“开销”(类比较等...)方法。在这种
假定以下情况: 对等方A只希望将音频流发送给对等方B 对等B只希望将视频流发送给对等A 从而, 与创建报价 var sdpConstraints = { “必填”:{ 'OfferToReceiveA
因为我有一些角度,所以我想检查角度模数 360°: double angle = 0; double expectedAngle = 360; angle.Should().B
这是我的程序中构建的 monad 堆栈: type Px a = ReaderT PConf (State PState) a 其中 PConf 和 PState 是保存应用程序的配置和状态的任意数据
因为我有一些角度,所以我想检查角度模数 360°: double angle = 0; double expectedAngle = 360; angle.Should().B
我有一个小程序需要以某些权限运行,这意味着加载时会显示一条警告消息。如果用户拒绝警告消息,我想重定向到错误页面并解释发生了什么。有什么办法可以做到这一点吗? 我研究过让计时器运行并在特定时间段后重定向
从我可以从 Firebase 文档中推断出,似乎需要服务器来提供静态内容(html和 javascript),所以你需要有一台托管机器和一个静态内容服务器在某处启动并运行,或某些服务托管静态站点。 对
关闭。这个问题是opinion-based 。目前不接受答案。 想要改进这个问题吗?更新问题,以便 editing this post 可以用事实和引文来回答它。 . 已关闭 3 年前。 Improv
我的项目根目录的静态文件夹中有一个文本文件。 我想提供它,所以我创建了: @csrf_exempt def display_text(request): content = retur
我目前正在研究指针,为了进一步理解我正在尝试使用指针将两个数值数组连接成一个。代码如下所示。 #include void concat(int **pa,int **pb,int **pc) {
我是一名优秀的程序员,十分优秀!