SSL_Accept失败,SSL_get_error返回1

时间:2016-11-09 11:28:34

标签: c linux security ssl openssl

我是SSL套接字编程的新手,我的第一个任务是让SSL服务器客户端正常工作和理解。

我已经获取了浮动在Web上的服务器和客户端源代码,并根据我的openssl库(从源代码编译)编译它们。

当我启动服务器时,我可以使用accept系统调用创建一个普通的clientfd,但SSL_accept失败。

clientsocketfd = accept(serversocketfd, NULL, 0);
serverssl = SSL_new(ssl_server_ctx);
if(!serverssl)
{
    printf("Error SSL_new\n");
    return -1;
}
SSL_set_fd(serverssl, clientsocketfd);

if((ret = SSL_accept(serverssl))!= 1)
{
    printf("Handshake Error %d\n", SSL_get_error(serverssl, ret));
    return -1;
}

SSL_accept无法打印Handshake error 1

为什么SSL_accept失败并出现错误1?

服务器来源:

/*---------------------------------------------------------------------*/
/*--- main - create SSL socket server.                              ---*/
/*---------------------------------------------------------------------*/
int main(int count, char *strings[])
{   SSL_CTX *ctx;
    int server;
    char *portnum;

    if ( count != 2 )
    {
        printf("Usage: %s <portnum>\n", strings[0]);
        exit(0);
    }
    portnum = strings[1];
    SSL_library_init();
    ctx = InitServerCTX();                                                              /* initialize SSL */
    LoadCertificates(ctx, "newreq.pem", "newreq.pem");  /* load certs */
    server = OpenListener(atoi(portnum));                               /* create server socket */
    while (1)
    {   struct sockaddr_in addr;
        int len = sizeof(addr);
        SSL *ssl;

        int client = accept(server, (struct sockaddr*)&addr, &len);             /* accept connection as usual */
        printf("Connection: %s:%d\n",
                inet_ntoa(addr.sin_addr), ntohs(addr.sin_port));
        ssl = SSL_new(ctx);                                             /* get new SSL state with context */
        SSL_set_fd(ssl, client);                                                /* set connection socket to SSL state */
        Servlet(ssl);                                                                   /* service connection */
    }
    close(server);                                                                              /* close server socket */
    SSL_CTX_free(ctx);                                                                  /* release context */
}

/*---------------------------------------------------------------------*/
/*--- InitServerCTX - initialize SSL server  and create context     ---*/
/*---------------------------------------------------------------------*/
SSL_CTX* InitServerCTX(void)
{   SSL_METHOD *method;
    SSL_CTX *ctx;

    OpenSSL_add_all_algorithms();               /* load & register all cryptos, etc. */
    SSL_load_error_strings();                   /* load all error messages */
    method = SSLv3_server_method();             /* create new server-method instance */
    ctx = SSL_CTX_new(method);                  /* create new context from method */
    if ( ctx == NULL )
    {
        ERR_print_errors_fp(stderr);
        abort();
    }
    return ctx;
}

OpenSSL版本和编译选项如下:

/usr/bin/openssl version -a
OpenSSL 1.0.2g  1 Mar 2016
built on: reproducible build, date unspecified
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -I. -I.. -I../include  -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT 
-DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -g -O2 -fstack-protector-strong 
-Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2 -Wl,
-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int 
-DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT 
-DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM 
-DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM 
-DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM
OPENSSLDIR: "/usr/lib/ssl"

1 个答案:

答案 0 :(得分:1)

显然,在与一些Linux发行版(例如Ubuntu 16.04)一起发布的软件包中禁用了SSLv3:

  

openssl(1.0.2g-1ubuntu1)xenial;急=介质

     
      
  • 与Debian合并,剩下的变化。      
        
    • 在不更改ABI的情况下禁用SSLv3:      
          
      • debian / patches / no-sslv3.patch:禁用SSLv3而不使用   no-ssl3-method选项
      •   
      • debian / rules:不要使用no-ssl3-method,不要使用soname
      •   
      • debian / patches / engines-path.patch:不要使用soname
      •   
      • debian / patches / version-script.patch:不要使用soname
      •   
      • debian / patches / soname.patch:已移除
      •   
      • debian / lib *:不要破坏soname
      •   
    •   
  •   

因此您需要使用其他方法:

method = SSLv3_server_method();