64位窗口和“无共享密码”的OpenSSL
我刚刚为64位Windows编译并安装了OpenSSL .我使用以下命令创建了一个自签名证书和一个私钥:
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 10000 -nodes现在,我正在用火狐和一些支持Winsock的修改来测试在“简单TLS服务器”示例 Wiki上找到的OpenSSL,但是我一直在发现这个错误。
11216:error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher:ssl\statem\statem_srvr.c:1422:(第一个数字总是变化的)在执行SSL_accept()函数时。在使用Wireshark连接到某些HTTPS服务器时,我检查了Firefox (v43.0.1)在其TLS v1.2客户机Hello中发送的(11)密码列表(因为在本地主机上捕获是困难的),并将其与我安装的OpenSSL支持的(使用openssl.exe ciphers -s -tls1_2 -V)进行了比较。结果是有共同的密码,所以我错过了什么?!
包含statem_srvr.c第1422行的块如下,从1420开始:
if (cipher == NULL) {
SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
SSL_R_NO_SHARED_CIPHER);
goto f_err;
}对原始代码的修改在while循环之前和头中进行:
#pragma comment(lib,"Ws2_32.lib")
#include <stdio.h>
#include <winerror.h>
#include <WinSock2.h>
#include <openssl/ssl.h>
#include <openssl/err.h>
#include <openssl/applink.c>和
int sock;
SSL_CTX *ctx;
WSADATA WsaDat;
if (WSAStartup(MAKEWORD(2, 2), &WsaDat) != 0) perror("Winsock fatal startup error");
init_openssl();
ctx = create_context();
configure_context(ctx);
sock = create_socket(4433);编辑:--这是当我使用TLSv1.2使用s_client连接到服务器时所发生的事情:
CONNECTED(000000F0)
23368:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:ssl\record\rec_layer_s3.c:1362:SSL alert number 40
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 176 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1473536238
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---回答 3
Stack Overflow用户
发布于 2016-09-11 11:51:50
事实证明,在查找证书和私钥时遇到了问题。问题解决了。
Stack Overflow用户
发布于 2016-09-20 20:43:38
EJP的评论解决了我的问题。在我的例子中,我用SSL_CTX创建了一个SSL对象,但是在创建SSL_CTX对象之后为SSL_CTX设置了cert和key,所以再也没有将created复制到ssl对象。将我的证书和密钥代码移到创建SSL对象之前,解决了这个问题。
错误的方向:
/*Create SSL Context*/
SSL_CTX *ctx = SSL_CTX_new(TLS_server_method());
/*Create SSL Object*/
SSL *ssl = SSL_new(ctx);
/*Load certs into SSL server*/ //<---WRONG; SHOULD NOT BE HERE
if (!SSL_CTX_use_certificate_file(ctx, "C:\\Users\\dzmf39\\Documents\\PPH1261726\\TLS\\tls_cert.pem", SSL_FILETYPE_PEM)) {
fprintf(stderr, "Error while loading SSL Server Certificate.\n");
return 0;
}
if (!SSL_CTX_use_PrivateKey_file(ctx, "C:\\Users\\dzmf39\\Documents\\PPH1261726\\TLS\\tls_key.pem", SSL_FILETYPE_PEM)) {
ERR_print_errors_fp(stderr);
return 0;
}
SSL_do_handshake(ssl); //Throws handshake error正确道路
/*Create SSL Context*/
SSL_CTX *ctx = SSL_CTX_new(TLS_server_method());
/*Load certs into SSL server*/ //<---CORRECT; GOES BEFORE SSL object creation
if (!SSL_CTX_use_certificate_file(ctx, "C:\\Users\\dzmf39\\Documents\\PPH1261726\\TLS\\tls_cert.pem", SSL_FILETYPE_PEM)) {
fprintf(stderr, "Error while loading SSL Server Certificate.\n");
return 0;
}
if (!SSL_CTX_use_PrivateKey_file(ctx, "C:\\Users\\dzmf39\\Documents\\PPH1261726\\TLS\\tls_key.pem", SSL_FILETYPE_PEM)) {
ERR_print_errors_fp(stderr);
return 0;
}
/*Create SSL Object*/
SSL *ssl = SSL_new(ctx);
SSL_do_handshake(ssl);还有其他方法可以直接将密钥添加到SSL对象,在这种情况下,这将不适用,但我没有使用该路径。
Stack Overflow用户
发布于 2018-07-27 09:26:23
我也遇到了同样的问题。我也解决了这个问题:
贝罗菲(这是错误)
SSL_CTX_new
SSL_new
SSL_CTX_use_certificate_chain_file
SSL_CTX_use_PrivateKey_file在(没问题)之后
SSL_CTX_new
SSL_CTX_use_certificate_chain_file
SSL_CTX_use_PrivateKey_file
SSL_newhttps://stackoverflow.com/questions/39428438
复制相似问题
腾讯云开发者
