SSL握手失败,出现“sslv3警报握手失败:SSL警报号40”

时间:2017-05-19 18:39:47

标签: ssl openssl ssl-certificate tls1.2 handshake

我有一个.pfx文件,可以在Windows客户端上使用时完美连接到远程服务器。我想现在使用linux客户端连接到服务器。

问题1)我使用以下openssl命令从pfx文件中提取公共证书和私钥,

openssl pkcs12 -in Name.pfx -nocerts -out priv.pem -nodes
openssl pkcs12 -in Name.pfx -nokeys -out pub.pem

但是当我运行以下两个命令来验证两个文件的md5时,我发现它们都不同。

openssl rsa -noout -text -in priv.pem | openssl md5
openssl x509 -noout -text -in pub.pem | openssl md5

问题2)我改为使用以下命令从pfx中提取具有cert和key的单个pem文件。

openssl pkcs12 -in Name.pfx -out bundle.pem

使用此pem文件,我尝试使用以下命令连接到远程服务器:

openssl s_client -servername 1.2.3.4 -connect 1.2.3.4:1234 -CAfile bundle.pem -state -tls1_2

这在终端上提供以下输出

CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:SSLv3 write client hello A
SSL_connect:SSLv3 read server hello A
depth=0 O = "My Name", CN = Name - Local
verify return:1
SSL_connect:SSLv3 read server certificate A
SSL_connect:SSLv3 read server key exchange A
SSL_connect:SSLv3 read server certificate request A
SSL_connect:SSLv3 read server done A
SSL_connect:SSLv3 write client certificate A
SSL_connect:SSLv3 write client key exchange A
SSL_connect:SSLv3 write change cipher spec A
SSL_connect:SSLv3 write finished A
SSL_connect:SSLv3 flush data
SSL3 alert read:fatal:handshake failure
SSL_connect:failed in SSLv3 read finished A
140250807310240:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1275:SSL alert number 40
140250807310240:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:598:
---
Certificate chain
 0 s:/O=My Name /CN=Name - Local
   i:/O=My Name /CN=Name - Local
---
Server certificate
-----BEGIN CERTIFICATE-----
<random string of certificate>
-----END CERTIFICATE-----
subject=/O=My Name /CN=Name - Local
issuer=/O=My Name /CN=Name - Local
---
No client certificate CA names sent
Server Temp Key: ECDH, secp521r1, 521 bits
---
SSL handshake has read 1332 bytes and written 206 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: <some string>
    Session-ID-ctx: 
    Master-Key: <some string>
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1495217834
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---

我无法弄清楚为什么握手失败了。坚持了3天,问题究竟在哪里。

1 个答案:

答案 0 :(得分:1)

  

但是当我运行以下两个命令来验证两个文件的md5时,我发现它们都不同。

openssl rsa -noout -text -in priv.pem | openssl md5
openssl x509 -noout -text -in pub.pem | openssl md5

第一个命令显示有关私钥的文本信息。有关包含公钥的证书的第二个文本信息。当然这些信息是不同的。

  

使用此pem文件,我尝试使用以下命令连接到远程服务器:

openssl s_client -servername 1.2.3.4 -connect 1.2.3.4:1234 -CAfile bundle.pem -state -tls1_2

这将证书用作受信任的CA(-CAfile)。这可能不是你想要的。相反,您希望将证书用作客户端证书。这应该as documented使用选项-cert-key完成,例如-cert bundle.pem -key bundle.pem

除了-servername应该是主机名而不是IP地址。如果您没有主机名,请跳过此选项。

SSL_connect:SSLv3 read server certificate request A
...
SSL_connect:SSLv3 write client certificate A
...
SSL3 alert read:fatal:handshake failure

由于未正确指定客户端证书,因此将发送空客户端证书。但是服务器需要有效的客户端证书,因此会将SSL警报中的失败握手报告回客户端。