ssl - 尝试使用客户端证书时解决 sslv3 警报握手失败

Question

我正在尝试连接到需要证书进行授权的服务。过程是我向服务发送 CSR 文件。该服务签署 CSR 并向我发送我用于连接的证书。

1. 我通过以下命令行生成了 CSR:

   openssl req -new -nodes -newkey rsa:2048 -keyout cert.key -out cert.csr
   

2. 我获取了 cert.csr 的内容并发送给了他们。他们生成了客户端证书，我得到了一个 PEM 文件。

3. 我现在尝试使用他们在 SSLCERT 中的 curl() 证书文件进行连接，并提供来自 cert.key 的私钥作为 CURLOPT_SSLKEY -(我在第 1 步中获得)。

4. 失败原因:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

我在这个过程中做错了什么？

有效 当我尝试使用收到的测试证书(包括来自服务的私钥(自签名证书))时。但是当我使用他们从我的 CSR 生成的证书然后使用我的私钥作为 key 时，它会因握手失败而出错。

所以我知道这与 openssl/curl 不支持 v3/TLS 等无关，其他人在研究解决方案时发现他们的问题是。

这是我运行的:

  curl -i -v --request POST https://service.com/ --cert clientcert.pem --key private_key.pem --cert-type pem --tlsv1.1 --insecure
* Connected to service.com (1xx.xxx.xxx.xx) port 443 (#0)
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Request CERT (13):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS handshake, CERT verify (15):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS alert, Server hello (2):
* error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure
* Closing connection 0

运行以下版本:curl 7.35.0 (x86_64-pc-linux-gnu) libcurl/7.35.0 OpenSSL/1.0.1f zlib/1.2.8 libidn/1.28 librtmp/2.3

Answer 1

不是一个明确的答案，但太多不适合评论:

我假设他们给你的证书要么有错误的颁发者(尽管他们的服务器可以为此使用更具体的警报代码)或错误的主题。我们知道证书与您的私钥相匹配——因为 curl和 openssl client将它们配对而不会提示不匹配；但我们实际上并不知道它与他们想要的 CA 匹配——因为您的 curl 使用 openssl 并且 openssl SSL 客户端不强制配置的客户端证书与 certreq.CA 匹配。

做openssl x509 <clientcert.pem -noout -subject -issuer并且在测试 P12 的证书上也是如此。做openssl s_client (或检查您所做的)并查看 Acceptable client certificate CA names ;那里的名称或其中之一应该匹配(完全!)您的证书的颁发者。如果不是，那很可能是您的问题，您需要与他们确认您是否以正确的方式将 CSR 提交到了正确的位置。也许他们在不同地区或业务线、测试与生产、事件与待定等方面有不同的制度。

如果您的证书颁发者与所需的 CA 匹配，请将其主题与工作 (test-P12) 的主题进行比较:它们的格式是否相似？工作组件中是否有任何组件不存在于您的组件中？如果他们允许，请尝试生成并提交一个新的 CSR，其主题名称与 test-P12 主题名称完全相同，或者尽可能接近，看看是否会产生效果更好的证书。 (您不必生成新的 key 来执行此操作，但如果您选择这样做，请跟踪哪些证书与哪些 key 匹配，这样您就不会混淆它们。)如果没有'帮助查看带有 openssl x509 <cert -noout -text 的证书扩展对于可能合理地与主体授权相关的任何差异，例如 KeyUsage、ExtendedKeyUsage、可能是 Policy、可能是 Constraints，甚至可能是非标准的东西。

如果一切都失败了，请询问服务器运算符(operator)他们的日志对问题的看法，或者如果您有权访问，请自己查看日志。