我有一个.pfx文件,可以在Windows客户端上使用时完美连接到远程服务器。我想现在使用linux客户端连接到服务器。
问题1)我使用以下openssl命令从pfx文件中提取公共证书和私钥,
openssl pkcs12 -in Name.pfx -nocerts -out priv.pem -nodes
openssl pkcs12 -in Name.pfx -nokeys -out pub.pem
但是当我运行以下两个命令来验证两个文件的md5时,我发现它们都不同。
openssl rsa -noout -text -in priv.pem | openssl md5
openssl x509 -noout -text -in pub.pem | openssl md5
问题2)我改为使用以下命令从pfx中提取具有cert和key的单个pem文件。
openssl pkcs12 -in Name.pfx -out bundle.pem
使用此pem文件,我尝试使用以下命令连接到远程服务器:
openssl s_client -servername 1.2.3.4 -connect 1.2.3.4:1234 -CAfile bundle.pem -state -tls1_2
这在终端上提供以下输出
CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:SSLv3 write client hello A
SSL_connect:SSLv3 read server hello A
depth=0 O = "My Name", CN = Name - Local
verify return:1
SSL_connect:SSLv3 read server certificate A
SSL_connect:SSLv3 read server key exchange A
SSL_connect:SSLv3 read server certificate request A
SSL_connect:SSLv3 read server done A
SSL_connect:SSLv3 write client certificate A
SSL_connect:SSLv3 write client key exchange A
SSL_connect:SSLv3 write change cipher spec A
SSL_connect:SSLv3 write finished A
SSL_connect:SSLv3 flush data
SSL3 alert read:fatal:handshake failure
SSL_connect:failed in SSLv3 read finished A
140250807310240:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1275:SSL alert number 40
140250807310240:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:598:
---
Certificate chain
0 s:/O=My Name /CN=Name - Local
i:/O=My Name /CN=Name - Local
---
Server certificate
-----BEGIN CERTIFICATE-----
<random string of certificate>
-----END CERTIFICATE-----
subject=/O=My Name /CN=Name - Local
issuer=/O=My Name /CN=Name - Local
---
No client certificate CA names sent
Server Temp Key: ECDH, secp521r1, 521 bits
---
SSL handshake has read 1332 bytes and written 206 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: <some string>
Session-ID-ctx:
Master-Key: <some string>
Key-Arg : None
Krb5 Principal: None
PSK identity: None
PSK identity hint: None
Start Time: 1495217834
Timeout : 7200 (sec)
Verify return code: 0 (ok)
---
我无法弄清楚为什么握手失败了。坚持了3天,问题究竟在哪里。
答案 0 :(得分:1)
但是当我运行以下两个命令来验证两个文件的md5时,我发现它们都不同。
openssl rsa -noout -text -in priv.pem | openssl md5 openssl x509 -noout -text -in pub.pem | openssl md5
第一个命令显示有关私钥的文本信息。有关包含公钥的证书的第二个文本信息。当然这些信息是不同的。
使用此pem文件,我尝试使用以下命令连接到远程服务器:
openssl s_client -servername 1.2.3.4 -connect 1.2.3.4:1234 -CAfile bundle.pem -state -tls1_2
这将证书用作受信任的CA(-CAfile
)。这可能不是你想要的。相反,您希望将证书用作客户端证书。这应该as documented使用选项-cert
和-key
完成,例如-cert bundle.pem -key bundle.pem
。
除了-servername
应该是主机名而不是IP地址。如果您没有主机名,请跳过此选项。
SSL_connect:SSLv3 read server certificate request A ... SSL_connect:SSLv3 write client certificate A ... SSL3 alert read:fatal:handshake failure
由于未正确指定客户端证书,因此将发送空客户端证书。但是服务器需要有效的客户端证书,因此会将SSL警报中的失败握手报告回客户端。