堆棧內存溢出
  簡體   English   中英

TLS服務器未從客戶端接收證書,無法終止握手

[英]TLS server doesn't receive certificate from client, fails to terminate handshake

 原文  2016-02-27 05:16:26       c/ ssl/ openssl

問題描述

我有一個客戶端和一個服務器試圖相互進行身份驗證並啟動TLS連接。 我現在使用的證書是自簽名的。

在服務器代碼中,我設置了SSL_VERIFY_FAIL_IF_NO_PEER_CERT 握手成功,但SSL_get_peer_certificate在服務器端返回NULL指針。 如果客戶端沒有返回證書,為什么握手不會失敗?

如果我在服務器端注釋掉SSL_get_peer_certificate檢查,則客戶端和服務器會進行連接並且能夠進行通信,但它不是TLS連接。 當我看着他們通過wireshark交換數據包時,我只看到TCP流量。

服務器代碼: 

BIO *acceptTLSConnection(char *port) {

  BIO *sbio, *bbio, *acpt = NULL;
  SSL_CTX *ctx = NULL;
  SSL *ssl = NULL;

  SSL_library_init();

  ctx = SSL_CTX_new(TLSv1_server_method());

  SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER|SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);

  if(!SSL_CTX_use_certificate_file(ctx,"servercert.pem",SSL_FILETYPE_PEM)
    || !SSL_CTX_use_PrivateKey_file(ctx,"serverkey.pem",SSL_FILETYPE_PEM)
    || !SSL_CTX_check_private_key(ctx)) {
    ERR_print_errors_fp(stderr);
    fatalError("Error setting up SSL_CTX.");
  }

  if(!SSL_CTX_load_verify_locations(ctx, "clientcert.pem", NULL))
    fatalError("Could not load trusted CA certificates.");

  sbio=BIO_new_ssl(ctx,0);

  BIO_get_ssl(sbio, &ssl);

  if(!ssl) {
    fatalError("Can't locate BIO SSL pointer.");
  }

  SSL_set_mode(ssl, SSL_MODE_AUTO_RETRY);

  bbio = BIO_new(BIO_f_buffer());
  sbio = BIO_push(bbio, sbio);

  acpt=BIO_new_accept(port);
  BIO_set_accept_bios(acpt,sbio);

  /* Setup accept BIO */
  if(BIO_do_accept(acpt) <= 0) {
    ERR_print_errors_fp(stderr);
    fatalError("Error in setting up accept BIO");
  }

  /* Now wait for incoming connection */
  if(BIO_do_accept(acpt) <= 0) {
    ERR_print_errors_fp(stderr);
    fatalError("Error in connection");
  }

  sbio = BIO_pop(acpt);
  BIO_free_all(acpt);

  if(BIO_do_handshake(sbio) <= 0) {
    ERR_print_errors_fp(stderr);
    fatalError("Error in SSL handshake");
  }

  /* Verify a client certificate was presented during the negotiation */
  X509* cert = SSL_get_peer_certificate(ssl);
  if(cert) { X509_free(cert); } /* Free immediately */
  if(NULL == cert) fatalError("Client did not present a cert during handshake.");

  /* Verify the result of chain verification */
  int res = SSL_get_verify_result(ssl);
  if(!(X509_V_OK == res)) fatalError("Cert presented by client couldn't be verified.");

  return sbio;
}

客戶代碼: 

BIO *makeTLSConnection(char *servIP, char *servPort) {

  char *servLoc = calloc(strlen(servIP) + strlen(servPort) + 2, sizeof(char));
  strcat(servLoc, servIP);
  strcat(servLoc, ":");
  strcat(servLoc, servPort);

  BIO *sbio = NULL;
  SSL_CTX *ctx = NULL;
  SSL *ssl = NULL;

  SSL_library_init();

  ctx = SSL_CTX_new(TLSv1_client_method());

  SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);

  if(!SSL_CTX_use_certificate_file(ctx,"clientcert.pem",SSL_FILETYPE_PEM)
    || !SSL_CTX_use_PrivateKey_file(ctx,"clientkey.pem",SSL_FILETYPE_PEM)
    || !SSL_CTX_check_private_key(ctx)) {
    ERR_print_errors_fp(stderr);
    fatalError("Error setting up SSL_CTX.");
  }

  if(!SSL_CTX_load_verify_locations(ctx, "servercert.pem", NULL))
    fatalError("Could not load trusted CA certificates.");

  sbio = BIO_new_ssl_connect(ctx);

  BIO_get_ssl(sbio, &ssl);

  if(!ssl) {
    fatalError("Can't locate SSL pointer.");
  }

  BIO_set_conn_hostname(sbio, servLoc);

  if(BIO_do_connect(sbio) <= 0) {
    ERR_print_errors_fp(stderr);
    fatalError("Error connecting to server.");
  }

  if(BIO_do_handshake(sbio) <= 0) {
    ERR_print_errors_fp(stderr);
    fatalError("Error establishing SSL connection.");
  }

  /* Verify a server certificate was presented during the negotiation */
  X509* cert = SSL_get_peer_certificate(ssl);
  if(cert) { X509_free(cert); } /* Free immediately */
  if(NULL == cert) fatalError("Server did not present a cert during handshake.");

  /* Verify the result of chain verification */
  int res = SSL_get_verify_result(ssl);
  if(!(X509_V_OK == res)) fatalError("Cert presented by server couldn't be verified.");

  return sbio;
}

1 個解決方案

解決方案1
 2 已采納  2016-02-27 18:40:40

看起來您在服務器上缺少對SSL_CTX_use_certificate_chain_fileSSL_CTX_set_client_CA_list的調用。 我相信SSL_CTX_set_client_CA_list觸發機器執行客戶端身份驗證(即,它在交換期間從7.4.6節中引出了來自RFC的ClientCertificate消息 )。

如果SSL_CTX_set_client_CA_list導致您正在尋找的失敗,那么我傾向於相信它是OpenSSL庫中的一個錯誤。 在服務器上指定SSL_VERIFY_PEERSSL_VERIFY_FAIL_IF_NO_PEER_CERT時應該會出現故障,因為這就是文檔所說的內容。

另請參閱使用SSL_VERIFY_PEER |驗證是否應該失敗 在OpenSSL Users郵件列表中沒有SSL_CTX_set_client_CA_list的SSL_VERIFY_FAIL_IF_NO_PEER_CERT 它是對這個問題的回應。

另請參閱使用OpenSSLOpenSSL客戶端 測試SSL / TLS客戶端身份驗證,不是發送客戶端證書

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 C 客戶端未從服務器接收 UDP客戶端未從C中的服務器收到任何信息 TCP服務器沒有從客戶端收到正確的字節數 服務器客戶端發送和接收不起作用 客戶端無法從服務器接收消息? openSSL:握手失敗-服務器無法獲取客戶端證書 Java套接字客戶端無法接收來自C服務器的響應 不會從服務器到客戶端接收完整數據(unix-C) 服務器未從客戶端讀取消息 Java客戶端從C服務器接收,但是C服務器沒有從Java客戶端接收
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM