1. 首頁
  2. 問答
  3. SSL_Accept失敗,SSL_get_error返回1

SSL_Accept失敗,SSL_get_error返回1

2016-11-09 375 views
1

我是SSL套接字編程的新手,我的第一個任務是讓SSL服務器客戶端工作和理解。SSL_Accept失敗,SSL_get_error返回1

我已經獲得了浮動在Web上的服務器和客戶端源代碼,並將它們與我的openssl庫(從源代碼編譯)進行了編譯。

當我啓動服務器時,我可以使用accept系統調用來創建一個正常的clientfd,但SSL_accept失敗。

clientsocketfd = accept(serversocketfd, NULL, 0); 
serverssl = SSL_new(ssl_server_ctx); 
if(!serverssl) 
{ 
    printf("Error SSL_new\n"); 
    return -1; 
} 
SSL_set_fd(serverssl, clientsocketfd); 

if((ret = SSL_accept(serverssl))!= 1) 
{ 
    printf("Handshake Error %d\n", SSL_get_error(serverssl, ret)); 
    return -1; 
}

SSL_accept失敗打印Handshake error 1

爲什麼SSL_accept因錯誤1失敗?

Server源:

/*---------------------------------------------------------------------*/ 
/*--- main - create SSL socket server.        ---*/ 
/*---------------------------------------------------------------------*/ 
int main(int count, char *strings[]) 
{ SSL_CTX *ctx; 
    int server; 
    char *portnum; 

    if (count != 2) 
    { 
     printf("Usage: %s <portnum>\n", strings[0]); 
     exit(0); 
    } 
    portnum = strings[1]; 
    SSL_library_init(); 
    ctx = InitServerCTX();                /* initialize SSL */ 
    LoadCertificates(ctx, "newreq.pem", "newreq.pem"); /* load certs */ 
    server = OpenListener(atoi(portnum));        /* create server socket */ 
    while (1) 
    { struct sockaddr_in addr; 
     int len = sizeof(addr); 
     SSL *ssl; 

     int client = accept(server, (struct sockaddr*)&addr, &len);    /* accept connection as usual */ 
     printf("Connection: %s:%d\n", 
       inet_ntoa(addr.sin_addr), ntohs(addr.sin_port)); 
     ssl = SSL_new(ctx);            /* get new SSL state with context */ 
     SSL_set_fd(ssl, client);            /* set connection socket to SSL state */ 
     Servlet(ssl);                 /* service connection */ 
    } 
    close(server);                    /* close server socket */ 
    SSL_CTX_free(ctx);                 /* release context */ 
} 

/*---------------------------------------------------------------------*/ 
/*--- InitServerCTX - initialize SSL server and create context  ---*/ 
/*---------------------------------------------------------------------*/ 
SSL_CTX* InitServerCTX(void) 
{ SSL_METHOD *method; 
    SSL_CTX *ctx; 

    OpenSSL_add_all_algorithms();    /* load & register all cryptos, etc. */ 
    SSL_load_error_strings();     /* load all error messages */ 
    method = SSLv3_server_method();    /* create new server-method instance */ 
    ctx = SSL_CTX_new(method);     /* create new context from method */ 
    if (ctx == NULL) 
    { 
     ERR_print_errors_fp(stderr); 
     abort(); 
    } 
    return ctx; 
}

OpenSSL的版本和編譯選項如下folows:

/usr/bin/openssl version -a 
OpenSSL 1.0.2g 1 Mar 2016 
built on: reproducible build, date unspecified 
platform: debian-amd64 
options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -I. -I.. -I../include -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT 
-DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -g -O2 -fstack-protector-strong 
-Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2 -Wl, 
-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int 
-DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT 
-DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM 
-DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM 
-DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM 
OPENSSLDIR: "/usr/lib/ssl"

來源

2016-11-09 RootPhoenix

+0

中有示例代碼檢查所有返回值。評論風格將您的評論方式放到代碼的右側有多大用處?你可以*看到*這些評論,而不必玩弄滾動條?像這樣評論是一個壞主意。你花了多少時間創建漂亮的ASCII藝術盒子評論? –

回答

1

顯然,在SSLv3已經在與一些Linux發行版分發包禁用(如Ubuntu的16.04):

ope nssl(1.0.2g-1ubuntu1)xenial;緊急程度=中

  • 與Debian合併,剩餘的更改。
    • 禁用SSLv3的不改變ABI:
      • 的debian /補丁/無sslv3.patch:禁用SSLv3的不使用 無SSL3法選項
      • 的debian /規則:不要使用無-ssl3法,不要磕碰的soname
      • 的debian /補丁/引擎-path.patch:不撞的soname
      • 的debian /補丁/版本script.patch:不撞的soname
      • 的debian /patches/soname.patch:刪除d
      • 的debian/lib目錄*:不撞的soname

因此你需要用另一種方法:

method = SSLv3_server_method();

來源

2016-11-09 14:00:50

+0

嗨,謝謝,我使用了ubuntu 14.04,並且代碼繼續超過了創建方法的錯誤。我在SSL_accept期間出現錯誤,雖然正常的accept pass和客戶端連接fd正在創建,我該如何解決這個問題。 – RootPhoenix

+0

您使用的是哪個Ubuntu版本並不重要,它在您使用的Ubuntu的SSL v1.0.2g包中被禁用,因此您可以返回Ubuntu 16.04並根據需要降級您的包。或更改SSL服務器方法。 –

0

SSL_accept狀態的手冊頁:

如果底層BIO是非阻塞的,那麼當底層BIO不能滿足SSL_accept()到 的需求時,SSL_accept()也會返回 繼續握手,表示問題由返回值-1表示。 在這種情況下,調用SSL_get_error()返回值爲 SSL_accept()將產生SSL_ERROR_WANT_READ或SSL_ERROR_WANT_WRITE。 調用進程則要採取適當行動 滿足SSL_accept()的需求後重復調用...

我相信,這意味着你的代碼應該是這個樣子:

while (1) 
{ 
    int acc = SSL_accept(ssl); 
    if (acc == 0) 
    { 
     /* Hard error */ 
     exit(-1); 
    } 
    else if (acc == -1) 
    { 
     int err = SSL_get_error(ssl, ret); 
     if (err == SSL_ERROR_WANT_READ) 
     { 
      /* Wait for data to be read */ 
     } 
     else if (err == SSL_ERROR_WANT_WRITE) 
     { 
      /* Write data to continue */ 
     } 
     else if (err == SSL_ERROR_SYSCALL || err == SSL_ERROR_SSL) 
     { 
      /* Hard error */ 
      exit(-1); 
     } 
     else if (err == SSL_ERROR_ZERO_RETURN) 
     { 
      /* Same as error */ 
      exit(-1); 
     } 
    } 
    else 
    { 
     /* Continue */ 
     break; 
    } 
}

的OpenSSL在<openssl src>/apps/s_client.c<openssl src>/apps/s_server.c

來源

2016-11-10 05:29:57 jww

相關問題

 相關問題