使用 ssl c/c++ 进行客户端和服务器通信 - SSL 协议不起作用
Posted
技术标签:
【中文标题】使用 ssl c/c++ 进行客户端和服务器通信 - SSL 协议不起作用【英文标题】:Client and Server communication using ssl c/c++ - SSL protocol don't works 【发布时间】:2012-07-27 04:41:04 【问题描述】:我正在尝试使用来自:http://simplestcodings.blogspot.com.br/2010/08/secure-server-client-using-openssl-in-c.html 的 SSL 客户端/服务器示例来使用 SSLv3 创建安全连接。我对在服务器端请求证书进行了一些更改,通信工作正常并且双方都理解。因此,我的问题是当客户端连接到服务器时,协议通信 SSLv3 不起作用,我使用 wirkeshark 进行了验证,并且在协议字段中只显示 TCP,或者 IPA(RSL Malformed Packet)有人可以帮助我吗?谢谢!
我已经按照教程 https://help.ubuntu.com/community/OpenSSL 创建了我的证书。
这是我的客户端代码:
//SSL-Client.c
#include <stdio.h>
#include <errno.h>
#include <unistd.h>
#include <malloc.h>
#include <string.h>
#include <sys/socket.h>
#include <resolv.h>
#include <netdb.h>
#include <openssl/ssl.h>
#include <openssl/err.h>
#define FAIL -1
//Added the LoadCertificates how in the server-side makes.
void LoadCertificates(SSL_CTX* ctx, char* CertFile, char* KeyFile)
/* set the local certificate from CertFile */
if ( SSL_CTX_use_certificate_file(ctx, CertFile, SSL_FILETYPE_PEM) <= 0 )
ERR_print_errors_fp(stderr);
abort();
/* set the private key from KeyFile (may be the same as CertFile) */
if ( SSL_CTX_use_PrivateKey_file(ctx, KeyFile, SSL_FILETYPE_PEM) <= 0 )
ERR_print_errors_fp(stderr);
abort();
/* verify private key */
if ( !SSL_CTX_check_private_key(ctx) )
fprintf(stderr, "Private key does not match the public certificate\n");
abort();
int OpenConnection(const char *hostname, int port)
int sd;
struct hostent *host;
struct sockaddr_in addr;
if ( (host = gethostbyname(hostname)) == NULL )
perror(hostname);
abort();
sd = socket(PF_INET, SOCK_STREAM, 0);
bzero(&addr, sizeof(addr));
addr.sin_family = AF_INET;
addr.sin_port = htons(port);
addr.sin_addr.s_addr = *(long*)(host->h_addr);
if ( connect(sd, (struct sockaddr*)&addr, sizeof(addr)) != 0 )
close(sd);
perror(hostname);
abort();
return sd;
SSL_CTX* InitCTX(void)
SSL_METHOD *method;
SSL_CTX *ctx;
OpenSSL_add_all_algorithms(); /* Load cryptos, et.al. */
SSL_load_error_strings(); /* Bring in and register error messages */
method = SSLv3_client_method(); /* Create new client-method instance */
ctx = SSL_CTX_new(method); /* Create new context */
if ( ctx == NULL )
ERR_print_errors_fp(stderr);
abort();
return ctx;
void ShowCerts(SSL* ssl)
X509 *cert;
char *line;
cert = SSL_get_peer_certificate(ssl); /* get the server's certificate */
if ( cert != NULL )
printf("Server certificates:\n");
line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);
printf("Subject: %s\n", line);
free(line); /* free the malloc'ed string */
line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);
printf("Issuer: %s\n", line);
free(line); /* free the malloc'ed string */
X509_free(cert); /* free the malloc'ed certificate copy */
else
printf("No certificates.\n");
int main()
SSL_CTX *ctx;
int server;
SSL *ssl;
char buf[1024];
int bytes;
char hostname[]="127.0.0.1";
char portnum[]="5000";
char CertFile[] = "/home/myCA/cacert.pem";
char KeyFile[] = "/home/myCA/private/cakey.pem";
SSL_library_init();
ctx = InitCTX();
LoadCertificates(ctx, CertFile, KeyFile);
server = OpenConnection(hostname, atoi(portnum));
ssl = SSL_new(ctx); /* create new SSL connection state */
SSL_set_fd(ssl, server); /* attach the socket descriptor */
if ( SSL_connect(ssl) == FAIL ) /* perform the connection */
ERR_print_errors_fp(stderr);
else
char *msg = "Hello???";
printf("Connected with %s encryption\n", SSL_get_cipher(ssl));
ShowCerts(ssl); /* get any certs */
SSL_write(ssl, msg, strlen(msg)); /* encrypt & send message */
bytes = SSL_read(ssl, buf, sizeof(buf)); /* get reply & decrypt */
buf[bytes] = 0;
printf("Received: \"%s\"\n", buf);
SSL_free(ssl); /* release connection state */
close(server); /* close socket */
SSL_CTX_free(ctx); /* release context */
return 0;
还有服务器:
//SSL-Server.c
#include <errno.h>
#include <unistd.h>
#include <malloc.h>
#include <string.h>
#include <arpa/inet.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <netinet/in.h>
#include <resolv.h>
#include "openssl/ssl.h"
#include "openssl/err.h"
#define FAIL -1
int OpenListener(int port)
int sd;
struct sockaddr_in addr;
sd = socket(PF_INET, SOCK_STREAM, 0);
bzero(&addr, sizeof(addr));
addr.sin_family = AF_INET;
addr.sin_port = htons(port);
addr.sin_addr.s_addr = INADDR_ANY;
if ( bind(sd, (struct sockaddr*)&addr, sizeof(addr)) != 0 )
perror("can't bind port");
abort();
if ( listen(sd, 10) != 0 )
perror("Can't configure listening port");
abort();
return sd;
SSL_CTX* InitServerCTX(void)
SSL_METHOD *method;
SSL_CTX *ctx;
OpenSSL_add_all_algorithms(); /* load & register all cryptos, etc. */
SSL_load_error_strings(); /* load all error messages */
method = SSLv3_server_method(); /* create new server-method instance */
ctx = SSL_CTX_new(method); /* create new context from method */
if ( ctx == NULL )
ERR_print_errors_fp(stderr);
abort();
return ctx;
void LoadCertificates(SSL_CTX* ctx, char* CertFile, char* KeyFile)
//New lines
if (SSL_CTX_load_verify_locations(ctx, CertFile, KeyFile) != 1)
ERR_print_errors_fp(stderr);
if (SSL_CTX_set_default_verify_paths(ctx) != 1)
ERR_print_errors_fp(stderr);
//End new lines
/* set the local certificate from CertFile */
if (SSL_CTX_use_certificate_file(ctx, CertFile, SSL_FILETYPE_PEM) <= 0)
ERR_print_errors_fp(stderr);
abort();
/* set the private key from KeyFile (may be the same as CertFile) */
if (SSL_CTX_use_PrivateKey_file(ctx, KeyFile, SSL_FILETYPE_PEM) <= 0)
ERR_print_errors_fp(stderr);
abort();
/* verify private key */
if (!SSL_CTX_check_private_key(ctx))
fprintf(stderr, "Private key does not match the public certificate\n");
abort();
//New lines - Force the client-side have a certificate
SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);
SSL_CTX_set_verify_depth(ctx, 4);
//End new lines
void ShowCerts(SSL* ssl)
X509 *cert;
char *line;
cert = SSL_get_peer_certificate(ssl); /* Get certificates (if available) */
if ( cert != NULL )
printf("Server certificates:\n");
line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);
printf("Subject: %s\n", line);
free(line);
line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);
printf("Issuer: %s\n", line);
free(line);
X509_free(cert);
else
printf("No certificates.\n");
void Servlet(SSL* ssl) /* Serve the connection -- threadable */
char buf[1024];
char reply[1024];
int sd, bytes;
const char* HTMLecho="<html><body><pre>%s</pre></body></html>\n\n";
if ( SSL_accept(ssl) == FAIL ) /* do SSL-protocol accept */
ERR_print_errors_fp(stderr);
else
ShowCerts(ssl); /* get any certificates */
bytes = SSL_read(ssl, buf, sizeof(buf)); /* get request */
if ( bytes > 0 )
buf[bytes] = 0;
printf("Client msg: \"%s\"\n", buf);
sprintf(reply, HTMLecho, buf); /* construct reply */
SSL_write(ssl, reply, strlen(reply)); /* send reply */
else
ERR_print_errors_fp(stderr);
sd = SSL_get_fd(ssl); /* get socket connection */
SSL_free(ssl); /* release SSL state */
close(sd); /* close connection */
int main()
SSL_CTX *ctx;
int server;
char portnum[]="5000";
char CertFile[] = "/home/myCA/mycert.pem";
char KeyFile[] = "/home/myCA/mycert.pem";
SSL_library_init();
ctx = InitServerCTX(); /* initialize SSL */
LoadCertificates(ctx, CertFile, KeyFile); /* load certs */
server = OpenListener(atoi(portnum)); /* create server socket */
while (1)
struct sockaddr_in addr;
socklen_t len = sizeof(addr);
SSL *ssl;
int client = accept(server, (struct sockaddr*)&addr, &len); /* accept connection as usual */
printf("Connection: %s:%d\n",inet_ntoa(addr.sin_addr), ntohs(addr.sin_port));
ssl = SSL_new(ctx); /* get new SSL state with context */
SSL_set_fd(ssl, client); /* set connection socket to SSL state */
Servlet(ssl); /* service connection */
close(server); /* close server socket */
SSL_CTX_free(ctx); /* release context */
【问题讨论】:
您需要告诉 Wireshark 什么协议在哪个端口上运行,因为您使用的是非标准端口。这将允许正确的解剖器运行。请参阅 Wireshark 文档中的 Control Protocol dissection。 它采用默认密码套件 AES256-SHA 吗?对于 TLS 1.2 ,在我的程序中它需要 AES256-GCM-SHA384 吗?这怎么可能? 【参考方案1】:您必须修改您的代码(服务器端): 你的代码:
int main()
SSL_CTX *ctx;
int server;
**char portnum[]="5000";**
char CertFile[] = "/home/myCA/mycert.pem";
char KeyFile[] = "/home/myCA/mycert.pem";
SSL_library_init();
**portnum = strings[1];**
你应该使用这个:
int main(int argc, char **argv)
SSL_CTX *ctx;
int server;
//char portnum[]="5000"; ---> You can pass it as an argument
char CertFile[] = "/home/myCA/mycert.pem";
char KeyFile[] = "/home/myCA/mycert.pem";
SSL_library_init();
//portnum = strings[1];
portnum = argv[1]; // ---> You can pass port number here, instead of put it in the code
我得到了这个输出(客户端):
toc@UnixServer:~$ ./ssl_client
Connected with AES256-SHA encryption
Server certificates:
Subject: /C=FR/ST=Some-State/L=PARIS/O=TOC/OU=TOC/CN=TOC/emailAddress=toc@toc.com
Issuer: /C=FR/ST=Some-State/L=PARIS/O=TOC/OU=TOC/CN=TOC/emailAddress=toc@toc.com
Received: "<html><body><pre>Hello???</pre></body></html>
"
这个输出(服务器):
Connection: 127.0.0.1:59066
Server certificates:
Subject: /C=FR/ST=Some-State/L=PARIS/O=TOC/OU=TOC/CN=TOC/emailAddress=toc@toc.com
Issuer: /C=FR/ST=Some-State/L=PARIS/O=TOC/OU=TOC/CN=TOC/emailAddress=toc@toc.com
Client msg: "Hello???"
当您使用 ssldump (http://www.rtfm.com/ssldump/) 之类的工具(在 unix 机器上)时,您可以清楚地看到发生了什么:
toc@UnixServer:~$sudo ssldump -i lo port 5000
New TCP connection #1: localhost(59071) <-> localhost(5000)
1 1 0.0012 (0.0012) C>S Handshake
ClientHello
Version 3.0
cipher suites
Unknown value 0xc014
Unknown value 0xc00a
SSL_DHE_RSA_WITH_AES_256_CBC_SHA
SSL_DHE_DSS_WITH_AES_256_CBC_SHA
Unknown value 0x88
Unknown value 0x87
Unknown value 0xc00f
Unknown value 0xc005
SSL_RSA_WITH_AES_256_CBC_SHA
Unknown value 0x84
Unknown value 0xc012
Unknown value 0xc008
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Unknown value 0xc00d
Unknown value 0xc003
SSL_RSA_WITH_3DES_EDE_CBC_SHA
Unknown value 0xc013
Unknown value 0xc009
SSL_DHE_RSA_WITH_AES_128_CBC_SHA
SSL_DHE_DSS_WITH_AES_128_CBC_SHA
Unknown value 0x9a
Unknown value 0x99
Unknown value 0x45
Unknown value 0x44
Unknown value 0xc00e
Unknown value 0xc004
SSL_RSA_WITH_AES_128_CBC_SHA
Unknown value 0x96
Unknown value 0x41
Unknown value 0xc011
Unknown value 0xc007
Unknown value 0xc00c
Unknown value 0xc002
SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_RC4_128_MD5
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SSL_RSA_EXPORT_WITH_RC4_40_MD5
Unknown value 0xff
compression methods
unknown value
NULL
1 2 0.0019 (0.0006) S>C Handshake
ServerHello
Version 3.0
session_id[32]=
13 e2 5a f0 10 93 18 56 c8 66 54 94 29 ab 8b 2d
7b c6 9c 3b 7b ea c7 54 e6 86 7d 3a 56 8c 96 14
cipherSuite SSL_RSA_WITH_AES_256_CBC_SHA
compressionMethod unknown value
1 3 0.0019 (0.0000) S>C Handshake
Certificate
1 4 0.0019 (0.0000) S>C Handshake
CertificateRequest
certificate_types rsa_sign
certificate_types dss_sign
ServerHelloDone
1 5 0.0155 (0.0136) C>S Handshake
Certificate
1 6 0.0155 (0.0000) C>S Handshake
ClientKeyExchange
1 7 0.0155 (0.0000) C>S Handshake
CertificateVerify
Signature[128]=
ac 94 31 89 64 75 20 5f 4f 00 73 4e e8 de 51 b7
f1 bb 16 da 63 b1 8d e9 15 9b af f8 32 d7 84 f5
b5 7d 4f 48 1c 2b 41 58 81 d3 a8 50 40 25 90 95
44 de 9d bb c4 79 5c 64 a8 a9 28 f4 16 7c 0e 17
b2 77 cf b0 8c a9 90 50 34 a5 76 a2 57 39 8d 37
12 d8 a5 8d f4 08 3a 1e 83 7e 6c 0a e9 75 ec 85
3d 56 f2 2e 4a 7d 71 88 29 26 99 40 43 4e f3 29
26 bf eb 15 be 36 22 72 f3 d9 be 4a e3 c9 0b cc
1 8 0.0155 (0.0000) C>S ChangeCipherSpec
1 9 0.0155 (0.0000) C>S Handshake
1 10 0.0245 (0.0089) S>C ChangeCipherSpec
1 11 0.0245 (0.0000) S>C Handshake
1 12 0.0250 (0.0005) C>S application_data
1 13 0.0250 (0.0000) C>S application_data
1 14 0.0258 (0.0007) S>C application_data
1 15 0.0258 (0.0000) S>C application_data
1 0.0261 (0.0002) C>S TCP FIN
1 0.0275 (0.0013) S>C TCP FIN
问候。
【讨论】:
抱歉,测试正在修复端口 5000。我需要在此处更改时注释该行忘记注释“//portnum = strings[1];” - 谢谢,但错误与端口无关。 @DavidViana : 请把你的错误放在这里,因为我测试了代码并且没有 pb! 是的.. 输出没问题.. 但是当建立连接 SSL/TLS 时,协议需要是 SSLvX,但是当我验证协议时,提交的协议是 TCP 或 IPA( RSL 格式错误的数据包)。消息已加密,但我怀疑协议字段不是 SSL。谢谢! 您需要使用 WireShark 来查看协议字段。错误在协议字段中显示 TCP 或 IPA(RSL 格式错误的数据包)。我不知道为什么不显示 SSLv3。 @DavidViana :我再次添加了一些跟踪似乎一切正常,如果您没有看到使用 Wireshark 的 SSL 流量,可能是您错过了一些配置设置,请查看此 url (@987654321 @) 了解更多详情【参考方案2】:正如我在 cmets 中对 one of your previous question 所说的那样,您收到“Malformed Packet: GSM over IP”或此处出现奇怪的东西是正常的。
您正在使用端口 5000,该端口通常为协议 commplex-main 保留。因此,在没有任何额外信息的情况下,Wireshark 会尝试使用commplex-main 解码器分析它看到的流量。
当然,由于您在该端口上交换的数据实际上是 SSL/TLS(因为您使用的是通常不用于该端口的端口),因此将其解码为 commplex-main 会导致关于畸形数据包的奇数消息的数量。
Wireshark 仅使用它看到的端口号来猜测协议。如果您没有使用该协议的标准端口,您必须告诉它尝试不同的解码器。
更具体地说,右键单击数据包并选择解码为... -> 传输 -> SSL。
【讨论】:
我正在使用端口 5555 或 7000,但未显示消息“格式错误的数据包:GSM over IP”。但是信息协议是 TCP 而不是 SSL 或 TLS。这些信息是加密的,我是安全的,但我不知道为什么在套接字上使用 SSL/TLS 协议,协议信息不是 SSL/TCP。我应用解码“解码为... -> 传输 -> SSL”并且我没有更改。不过没关系,谢谢!【参考方案3】:使用上述服务器和客户端程序,我收到以下错误:
140671281543104:错误:140890B2:SSL 例程:SSL3_GET_CLIENT_CERTIFICATE:未返回证书:s3_srvr.c:3292:
我使用https://help.ubuntu.com/community/OpenSSL 中提到的过程生成了自签名证书。
折腾了一天的错误,我发现错误是因为自己生成的CA不在我使用的机器的信任链中。
要将 CA 添加到 RHEL-7 中的信任链中,可以按照以下步骤进行:
To add a certificate in the simple PEM or DER file formats to the
list of CAs trusted on the system:
Copy it to the
/etc/pki/ca-trust/source/anchors/
subdirectory, and run the
update-ca-trust
command.
If your certificate is in the extended BEGIN TRUSTED file format,
then place it into the main source/ directory instead.
我认为fedora也可以遵循上述程序。 如果这不起作用,探索诸如“update-ca-certificates”之类的命令可能会很有用。 希望这对某人有用。
【讨论】:
以上是关于使用 ssl c/c++ 进行客户端和服务器通信 - SSL 协议不起作用的主要内容,如果未能解决你的问题,请参考以下文章