3

64 ビット Windows 用の OpenSSL をコンパイルしてインストールしました。次のコマンドを使用して、自己署名証明書と秘密鍵を作成しました。

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 10000 -nodes

現在、OpenSSL Wiki にある「Simple TLS Server」の例を Firefox でテストしており、Winsock をサポートするためにいくつかの変更を加えていますが、エラーが引き続き発生します。

11216:error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher:ssl\statem\statem_srvr.c:1422:

(最初の番号は常に異なります) SSL_accept() 関数の実行中。Wiresharkを使用してHTTPSサーバーに接続するときに、TLS v1.2 Client HelloでFirefox(v 43.0.1)から送信された(11)暗号のリストを確認し(ローカルホストでのキャプチャが難しいため)、サポートされているものと比較しました私のOpenSSLのインストールによって(を使用して見つかりましたopenssl.exe ciphers -s -tls1_2 -V)。その結果、一般的な暗号が存在することになり、何が欠けているのでしょうか?!

statem_srvr.c の行 1422 を含むブロックは、1420 から始まる次のとおりです。

if (cipher == NULL) {
    SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
           SSL_R_NO_SHARED_CIPHER);
    goto f_err;
}

元のコードへの変更は、while ループの前とヘッダーにあります。

#pragma comment(lib,"Ws2_32.lib")
#include <stdio.h>
#include <winerror.h>
#include <WinSock2.h>
#include <openssl/ssl.h>
#include <openssl/err.h>
#include <openssl/applink.c>


int sock;
SSL_CTX *ctx;

WSADATA WsaDat;
if (WSAStartup(MAKEWORD(2, 2), &WsaDat) != 0) perror("Winsock fatal startup error");
init_openssl();
ctx = create_context();
configure_context(ctx);

sock = create_socket(4433);

編集: TLSv1.2 で s_client を使用してサーバーに接続しようとすると、次のようになります。

CONNECTED(000000F0)
23368:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:ssl\record\rec_layer_s3.c:1362:SSL alert number 40
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 176 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1473536238
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no
---
4

3 に答える 3

0

EJPによるコメントは私の問題を解決しました。私の場合、SSL_CTX を使用して SSL オブジェクトを作成しましたが、ssl オブジェクトを作成した後で SSL_CTX の証明書とキーを設定したため、証明書とキーが SSL オブジェクトにコピーされることはありませんでした。SSLオブジェクトを作成するに証明書とキーコードを移動すると、問題が解決しました。

進入禁止:

/*Create SSL Context*/
SSL_CTX *ctx = SSL_CTX_new(TLS_server_method());

/*Create SSL Object*/
SSL *ssl = SSL_new(ctx);

/*Load certs into SSL server*/ //<---WRONG; SHOULD NOT BE HERE
if (!SSL_CTX_use_certificate_file(ctx, "C:\\Users\\dzmf39\\Documents\\PPH1261726\\TLS\\tls_cert.pem", SSL_FILETYPE_PEM)) {
    fprintf(stderr, "Error while loading SSL Server Certificate.\n");
    return 0;
}

if (!SSL_CTX_use_PrivateKey_file(ctx, "C:\\Users\\dzmf39\\Documents\\PPH1261726\\TLS\\tls_key.pem", SSL_FILETYPE_PEM)) {
    ERR_print_errors_fp(stderr);
    return 0;
}

SSL_do_handshake(ssl); //Throws handshake error

正しい方法

/*Create SSL Context*/
SSL_CTX *ctx = SSL_CTX_new(TLS_server_method());

/*Load certs into SSL server*/ //<---CORRECT; GOES BEFORE SSL object creation
if (!SSL_CTX_use_certificate_file(ctx, "C:\\Users\\dzmf39\\Documents\\PPH1261726\\TLS\\tls_cert.pem", SSL_FILETYPE_PEM)) {
    fprintf(stderr, "Error while loading SSL Server Certificate.\n");
    return 0;
}

if (!SSL_CTX_use_PrivateKey_file(ctx, "C:\\Users\\dzmf39\\Documents\\PPH1261726\\TLS\\tls_key.pem", SSL_FILETYPE_PEM)) {
    ERR_print_errors_fp(stderr);
    return 0;
}

/*Create SSL Object*/
SSL *ssl = SSL_new(ctx);

SSL_do_handshake(ssl);

キーを SSL オブジェクトに直接追加できる方法は他にもありますが、その場合は適用されませんが、私はそのルートには行きませんでした。

于 2016-09-20T20:43:38.190 に答える
0

結局のところ、証明書と秘密鍵の検索に問題がありました。問題が解決しました。

于 2016-09-11T11:51:50.287 に答える