精通
英语
和
开源
,
擅长
开发
与
培训
,
胸怀四海
第一信赖
我想用EDH-RSA-DES-CBC3-SHA组件来测试TLS1.0连接,我用命令s_server和s_client来测试都正常,连接和数据交换都对了。
openssl s_server -accept 4433 -cert server.pem -key serverkey.pem -cipher EDH-RSA-DES-CBC3-SHA -tls1 openssl s_client -connect 127.0.0.1:443 -cipher EDH-RSA-DES-CBC3-SHA -tls1 Shared ciphers:EDH-RSA-DES-CBC3-SHA
现在我用openssl写了服务器代码。再用s_client连接我写的服务器,连接失败,有如下提示:
3077613304:error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher:s3_srvr.c:1361
我用下面查找命令检查了加解密组件的存在情况,绝对没问题,应该都支持我代码、s_server和s_client。
cat /proc/9515/maps | awk '{print $6}' | grep '\.so' | sort | uniq | grep -e ssl -e libcrypto /usr/lib/libcrypto.so.1.0.1e /usr/lib/libssl.so.1.0.1e
然后用其它加解密组件AES128-SHA,s_client能够正常工作。下面是我的服务器端代码:
SSL_CTX* InitServerCTX(void) { SSL_CTX *ctx = NULL; SSL_library_init(); OpenSSL_add_all_algorithms(); SSL_load_error_strings(); ctx = SSL_CTX_new(TLSv1_server_method()); SSL_CTX_set_cipher_list(ctx,"EDH-RSA-DES-CBC3-SHA"); // Returns 1 SSL_CTX_use_certificate_chain_file(ctx, "server.pem"); SSL_CTX_use_PrivateKey_file(ctx, "serverkey.pem", SSL_FILETYPE_PEM); return ctx; }
为什么我代码报错,但s_server不报呢?
参考https://linux.die.net/man/3/ssl_ctx_set_tmp_dh上的代码为ctx设置DH参数就可以解决问题。注意s_server使用52位DH参数,所以类似wget会失败,因为wget会拒绝小字段长度。