如何在PHP中将受信任的证书颁发机构列表设置为socket客户端?

时间:2015-02-24 13:19:03

标签: php sockets ssl

在IHE Con​​nectathon的上下文中,我想制作一个响应ATNA配置文件的原始套接字服务器,它需要带有两端证书的TLS套接字。

如果在此消息中总结我的问题: https://groups.google.com/d/msg/eu_connectathon/O-VGI_3cltw/ARsElA65ZkkJ

修改:抱歉,Google网上论坛不公开,以下是留言:

  

嗨弗洛里安,

     
    

错误消息“服务器要求提供证书的确切内容,     但发行人名单不包含有效的证书授权。“     意味着并且在执行期间更改了TLS工具客户端的更改     最近几年,还是我使用了错误的证书?

  
     

该消息表示服务器已发送CertificateRequest   发送给客户的消息,在certificate_authorities中没有值   字段。

     

去年我遇到了这个问题并与开发人员讨论过这个问题   TLS工具。他声称,如果服务器不包括这个   现场,客户端不会知道什么样的证书   返回,假设您将连接顶部多个的场景   亲和域,每个域都有自己的CA.

     

看来您可以指示OpenSSL返回此值   调用SSL_CTX_set_client_CA_list,例如在   DcmTLSTransportLayer :: addTrustedCertificateFile。我没有测试过这个   还有TLS工具,但我希望在此之前完成   connectathon开始。

但我在PHP中的实现与他们的实现并不相同。 看起来PHP缺少“SSL CTX设置客户端CA列表”的可能性,告诉客户端它应该使用哪个证书颁发机构。

$context = stream_context_create();

if ($certificate) {
  // Server certificate + private key
  stream_context_set_option($context, 'ssl', 'local_cert', "/path/to/server.pem"); 
  stream_context_set_option($context, 'ssl', 'passphrase', $passphrase); 

  // Client public certificates
  stream_context_set_option($context, 'ssl', 'cafile', "/path/to/ca.pem");

  stream_context_set_option($context, 'ssl', 'allow_self_signed', false);
  stream_context_set_option($context, 'ssl', 'verify_peer', true);
  stream_context_set_option($context, 'ssl', 'peer_name', "TlsTools2");
  stream_context_set_option($context, 'ssl', 'capture_peer_cert', true);
  stream_context_set_option($context, 'ssl', 'capture_peer_cert_chain', true);
}

$this->__socket = @stream_socket_server("tcp://$address:$port", $errno, $errstr, STREAM_SERVER_BIND | STREAM_SERVER_LISTEN, $context);

IHE Gazelle TLS客户端告诉我“服务器要求提供证书,但发布者列表不包含有效的证书颁发机构。”

客户端和服务器之间的消息通过,但测试不正常,因为“不够安全”,就像告诉消息一样。

您是否看到了问题,PHP是否有更多我没有看到的选项?

感谢您的帮助。

修改:正如@rdlowrey建议的那样,我刚创建了一个错误报告:https://bugs.php.net/bug.php?id=69215

1 个答案:

答案 0 :(得分:5)

正如我在最初的评论中提到的那样:

  

PHP的流服务器实现从未实际使用SSL_CTX_set_client_CA_list()来加密流。

已在相关错误报告中引用的上游更正:

https://bugs.php.net/bug.php?id=69215

这一更改将在PHP 5.6.8二进制文件发布后反映出来(或者您可以在该版本发布之前针对当前源手动构建PHP)。

实施

使用更新的二进制文件,OP的示例代码将按预期工作而无需修改。在服务器中使用加密上下文的一个简单示例:

<?php
$serverCtx = stream_context_create(['ssl' => [
    'local_cert' => '/path/to/my-server-cert.pem',
    'passphrase' => 'elephpant',
    'cafile' => '/path/to/my-ca-certs.pem',
    'verify_peer' => true
]]);

在上面的示例中,当作为TLS握手的一部分发送客户端CA列表时,PHP会自动使用上面引用的my-ca-certs.pem文件中的证书名称。

注释

通过"verify_peer" => true在加密服务器流中启用对等验证时,PHP不会自动启用对等名称验证。除非您只希望允许单个证书持有者(具有特定的已知名称)访问您的服务器,否则这正是您想要的。此默认行为支持更常见的用例,即允许其证书由可信CA签名的任何客户端建立与服务器的连接。但是,如果您希望在加密服务器中强制执行名称验证,请修改上面的上下文示例,如下所示:

<?php
$serverCtx = stream_context_create(['ssl' => [
    'local_cert' => '/path/to/my-server-cert.pem',
    'passphrase' => 'elephpant',
    'cafile' => '/path/to/my-ca-certs.pem',
    'verify_peer' => true,
    'verify_peer_name' => true, // verify the name on the cert
    'peer_name' => 'zanzibar' // ensure the cert's name matches this
]]);
相关问题
最新问题