堆栈内存溢出
  繁体   English   中英

TLS服务器未从客户端接收证书,无法终止握手

[英]TLS server doesn't receive certificate from client, fails to terminate handshake

 原文  2016-02-27 05:16:26       c/ ssl/ openssl

问题描述

我有一个客户端和一个服务器试图相互进行身份验证并启动TLS连接。 我现在使用的证书是自签名的。

在服务器代码中,我设置了SSL_VERIFY_FAIL_IF_NO_PEER_CERT 握手成功,但SSL_get_peer_certificate在服务器端返回NULL指针。 如果客户端没有返回证书,为什么握手不会失败?

如果我在服务器端注释掉SSL_get_peer_certificate检查,则客户端和服务器会进行连接并且能够进行通信,但它不是TLS连接。 当我看着他们通过wireshark交换数据包时,我只看到TCP流量。

服务器代码: 

BIO *acceptTLSConnection(char *port) {

  BIO *sbio, *bbio, *acpt = NULL;
  SSL_CTX *ctx = NULL;
  SSL *ssl = NULL;

  SSL_library_init();

  ctx = SSL_CTX_new(TLSv1_server_method());

  SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER|SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);

  if(!SSL_CTX_use_certificate_file(ctx,"servercert.pem",SSL_FILETYPE_PEM)
    || !SSL_CTX_use_PrivateKey_file(ctx,"serverkey.pem",SSL_FILETYPE_PEM)
    || !SSL_CTX_check_private_key(ctx)) {
    ERR_print_errors_fp(stderr);
    fatalError("Error setting up SSL_CTX.");
  }

  if(!SSL_CTX_load_verify_locations(ctx, "clientcert.pem", NULL))
    fatalError("Could not load trusted CA certificates.");

  sbio=BIO_new_ssl(ctx,0);

  BIO_get_ssl(sbio, &ssl);

  if(!ssl) {
    fatalError("Can't locate BIO SSL pointer.");
  }

  SSL_set_mode(ssl, SSL_MODE_AUTO_RETRY);

  bbio = BIO_new(BIO_f_buffer());
  sbio = BIO_push(bbio, sbio);

  acpt=BIO_new_accept(port);
  BIO_set_accept_bios(acpt,sbio);

  /* Setup accept BIO */
  if(BIO_do_accept(acpt) <= 0) {
    ERR_print_errors_fp(stderr);
    fatalError("Error in setting up accept BIO");
  }

  /* Now wait for incoming connection */
  if(BIO_do_accept(acpt) <= 0) {
    ERR_print_errors_fp(stderr);
    fatalError("Error in connection");
  }

  sbio = BIO_pop(acpt);
  BIO_free_all(acpt);

  if(BIO_do_handshake(sbio) <= 0) {
    ERR_print_errors_fp(stderr);
    fatalError("Error in SSL handshake");
  }

  /* Verify a client certificate was presented during the negotiation */
  X509* cert = SSL_get_peer_certificate(ssl);
  if(cert) { X509_free(cert); } /* Free immediately */
  if(NULL == cert) fatalError("Client did not present a cert during handshake.");

  /* Verify the result of chain verification */
  int res = SSL_get_verify_result(ssl);
  if(!(X509_V_OK == res)) fatalError("Cert presented by client couldn't be verified.");

  return sbio;
}

客户代码: 

BIO *makeTLSConnection(char *servIP, char *servPort) {

  char *servLoc = calloc(strlen(servIP) + strlen(servPort) + 2, sizeof(char));
  strcat(servLoc, servIP);
  strcat(servLoc, ":");
  strcat(servLoc, servPort);

  BIO *sbio = NULL;
  SSL_CTX *ctx = NULL;
  SSL *ssl = NULL;

  SSL_library_init();

  ctx = SSL_CTX_new(TLSv1_client_method());

  SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);

  if(!SSL_CTX_use_certificate_file(ctx,"clientcert.pem",SSL_FILETYPE_PEM)
    || !SSL_CTX_use_PrivateKey_file(ctx,"clientkey.pem",SSL_FILETYPE_PEM)
    || !SSL_CTX_check_private_key(ctx)) {
    ERR_print_errors_fp(stderr);
    fatalError("Error setting up SSL_CTX.");
  }

  if(!SSL_CTX_load_verify_locations(ctx, "servercert.pem", NULL))
    fatalError("Could not load trusted CA certificates.");

  sbio = BIO_new_ssl_connect(ctx);

  BIO_get_ssl(sbio, &ssl);

  if(!ssl) {
    fatalError("Can't locate SSL pointer.");
  }

  BIO_set_conn_hostname(sbio, servLoc);

  if(BIO_do_connect(sbio) <= 0) {
    ERR_print_errors_fp(stderr);
    fatalError("Error connecting to server.");
  }

  if(BIO_do_handshake(sbio) <= 0) {
    ERR_print_errors_fp(stderr);
    fatalError("Error establishing SSL connection.");
  }

  /* Verify a server certificate was presented during the negotiation */
  X509* cert = SSL_get_peer_certificate(ssl);
  if(cert) { X509_free(cert); } /* Free immediately */
  if(NULL == cert) fatalError("Server did not present a cert during handshake.");

  /* Verify the result of chain verification */
  int res = SSL_get_verify_result(ssl);
  if(!(X509_V_OK == res)) fatalError("Cert presented by server couldn't be verified.");

  return sbio;
}

1 个解决方案

解决方案1
 2 已采纳  2016-02-27 18:40:40

看起来您在服务器上缺少对SSL_CTX_use_certificate_chain_fileSSL_CTX_set_client_CA_list的调用。 我相信SSL_CTX_set_client_CA_list触发机器执行客户端身份验证(即,它在交换期间从7.4.6节中引出了来自RFC的ClientCertificate消息 )。

如果SSL_CTX_set_client_CA_list导致您正在寻找的失败,那么我倾向于相信它是OpenSSL库中的一个错误。 在服务器上指定SSL_VERIFY_PEERSSL_VERIFY_FAIL_IF_NO_PEER_CERT时应该会出现故障,因为这就是文档所说的内容。

另请参阅使用SSL_VERIFY_PEER |验证是否应该失败 在OpenSSL Users邮件列表中没有SSL_CTX_set_client_CA_list的SSL_VERIFY_FAIL_IF_NO_PEER_CERT 它是对这个问题的回应。

另请参阅使用OpenSSLOpenSSL客户端 测试SSL / TLS客户端身份验证,不是发送客户端证书

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 C 客户端未从服务器接收 UDP客户端未从C中的服务器收到任何信息 TCP服务器没有从客户端收到正确的字节数 服务器客户端发送和接收不起作用 客户端无法从服务器接收消息? openSSL:握手失败-服务器无法获取客户端证书 Java套接字客户端无法接收来自C服务器的响应 不会从服务器到客户端接收完整数据(unix-C) 服务器未从客户端读取消息 Java客户端从C服务器接收,但是C服务器没有从Java客户端接收
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM