个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
26
4
我有一个工作的 C++ 系统,我在客户端和服务器之间使用 C openssl 库在两侧建立了 ssl 连接。
系统通过要求客户端证书作为连接的一部分来使用客户端身份验证。客户端证书是自签名的,由签署自签名证书的系统中的 ca.pem 在服务器上对其进行验证。
服务器证书由 digikey 颁发。
我的理解是客户端对服务器证书的验证(它在客户端验证)和服务器对客户端[自签名]证书的验证之间没有关系,客户端[自签名]证书是在服务器上用我提供的 ca .pem.
但是,当我将服务器证书更改为由 letsencrypt 签名的证书时,我遇到了问题。
接受连接时出现此错误:
错误:14094418:SSL 例程:ssl3_read_bytes:tlsv1 警报未知 ca:s3_pkt.c:1487:SSL 警报编号 48
未知 CA。啊啊,但是哪个?
我尝试删除客户端证书要求作为测试,我能够建立连接,很明显客户端很乐意验证新的 letsencrypt 服务器证书。
所以看起来服务器无法验证客户端证书。但这没有任何意义,因为这些都没有改变,客户端证书是相同的,并且服务器用于验证该证书的 ca.pem 是相同的。
为什么更改服务器证书会影响客户端证书的验证方式?
服务器向客户端发出的请求是否有关于要求客户端证书的请求,包括主题的“letencrypt”或类似的东西?我对客户端证书请求的工作方式有点模糊。
有没有办法从 ssl 错误中获取更多信息,从库中获取更详细的日志记录?
我已经在命令行上运行 openssl verify 命令来手动验证客户端的 ca.pem 可信根列表可以验证 letsencrypt 证书,并且服务器的 ca.pem 可以验证客户端证书(因为它总是有)
那么....我做错了什么?
有什么想法吗?建议?要尝试什么?
谢谢。
更新:
所以我不得不重建 openssl 但我在服务器端和服务器端进行了跟踪,我得到了这个:
Received Record
Header:
Version = TLS 1.2 (0x303)
Content Type = Alert (21)
Length = 2
Level=fatal(2), description=unknown CA(48)
这让我现在相信问题出在客户端。上一条消息是从服务器发送的:
Sent Record
Header:
Version = TLS 1.2 (0x303)
Content Type = Handshake (22)
Length = 46
CertificateRequest, Length=38
certificate_types (len=3)
rsa_sign (1)
dss_sign (2)
ecdsa_sign (64)
signature_algorithms (len=30)
sha512+rsa (6+1)
sha512+dsa (6+2)
sha512+ecdsa (6+3)
sha384+rsa (5+1)
sha384+dsa (5+2)
sha384+ecdsa (5+3)
sha256+rsa (4+1)
sha256+dsa (4+2)
sha256+ecdsa (4+3)
sha224+rsa (3+1)
sha224+dsa (3+2)
sha224+ecdsa (3+3)
sha1+rsa (2+1)
sha1+dsa (2+2)
sha1+ecdsa (2+3)
certificate_authorities (len=0)
那么这意味着服务器没有提供关于匹配客户端证书的内容的建议,而客户端不喜欢这样?不确定这是否有帮助,只是指出问题可能出在客户端这一事实。
最佳答案
所以对于所有的追随者,我想通了。
举报来自追踪
Received Record
Header:
Version = TLS 1.2 (0x303)
Content Type = Alert (21)
Length = 2
Level=fatal(2), description=unknown CA(48)
表明服务器实际上是在提示客户端问题(而客户端没有,唉)
所以一旦我意识到它在提示客户端(在服务器上)的服务器证书,我意识到我只是没有在客户端上可用的所有根证书和中间体来验证新的服务器证书.我添加了它们,瞧,ssl 连接。SSL 错误可能有点误导。
没有解释为什么我的无客户端连接有效......也许我以某种方式搞砸了那个测试。
关于ssl - 带有客户端证书的 openssl ssl_accept 问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54637529/
26
4
0
我已经研究了一段时间,并没有在任何地方看到我完全相同的问题。我只是有一个特定的、非常简单的问题:每当我的 echo_server 尝试运行 SSL_accept() 函数时,它不会阻止服务器等待客户端
我制作了一个带有 SSL 和阻塞套接字的服务器。当我连接 telnet 时(因此它不进行握手),SSL_accept 会无限期地阻塞并阻塞每个新的握手/接受(以及根据定义的新连接)。 我该如何解决这个
我有一个需要升级到 SSL 通信的客户端/服务器通信。目前我有一个发送和接收 tcp 数据的网络套接字。 客户端向服务器发出一个 tcp connect()。 服务器已经实现了接受部分,接受连接后服务
我正在用 C++ 开发客户端和线程服务器,但我遇到了 OpenSSL/TLS 集成的问题。 到目前为止,我已经按照 ThriftServer.cpp 和 ThriftClient.cpp 进行了操作,
几天来,我一直在努力解决这个问题,想弄清楚它们是如何工作的。我已经阅读了文档并查看了一些示例,但我仍然需要指导。 具体来说,当客户端调用 connect() 并成功连接到服务器主机时,我是否应该在它之
我有一个工作的 C++ 系统,我在客户端和服务器之间使用 C openssl 库在两侧建立了 ssl 连接。 系统通过要求客户端证书作为连接的一部分来使用客户端身份验证。客户端证书是自签名的,由签署自
我已经搜索过 Stack Overflow 和互联网,但我无法找到为什么 ssl_accept() 不断返回的答案: [DEBUG] SSL_accept() : Failed with return
为了理解SSL/TLS,我在Windows-7上下载了OpenSSL-1.0.2k并用Cygwin编译 gcc 64 位 编译器。我从 OpenSSL server/client example in
我正在使用 openssl 在 C++ 中编写应用程序,但我似乎无法使 ssl 套接字连接正常工作。 我有一个抽象类,通过继承类使用各种协议(protocol)实现了多个功能,简单的 TCP 和 UD
我正在尝试创建一个客户端/服务器程序,但我发现继续使用数量稀少的 OpenSSL 文档有些困难。 我的问题:SSL_accept 在执行以下代码(简化)时抛出“无效参数”: SSL* ssl = SS
我是 SSL 套接字编程的新手,我的首要任务是让 SSL 服务器客户端正常工作和理解。 我已经获得了网络上的服务器和客户端源代码,并根据我的 openssl 库(从源代码编译)编译了它们。 当我启动服
SSL_accept(ssl) 200ms 正常吗? 作为 Windows 服务运行,用 C++ 编写,使用 MFC 和 Boost。在英特尔至强 e5620 2.4G、4GB 内存和 Win 7 P
我们有 3 个人致力于将 SSL 添加到基于 epoll 的服务器,但在 3 天的沮丧之后,我们决定向全世界寻求帮助。 问题是 SSL_accept() 总是返回 SSL_ERROR_WANT_REA
我使用 Delphi 10.1 Update 2 和 Indy 10.6.2.5341。 我们在 SSL_accept 中遇到访问冲突。如果使用 SSL 设置 TIdTCPServer 并且在 TId
我正在尝试写入 openssl 服务器,但 SSL_Accept 失败并出现错误:FFFFFFFF:lib(255):func(4095):reason(4095)。这个错误代码是什么意思?如何获取
我在尝试接受来自客户端应用程序的 SSL 连接时收到以下错误。我在 HP-UX IA 上使用 openssl 版本 0.9.8。 SSL_accept(40107e50) -1 err: 336285
我是一名优秀的程序员,十分优秀!