没有客户端身份验证,SSL连接失败

时间:2018-04-25 21:25:13

标签: c# python ssl ssl-certificate

我读到客户端身份验证是可选的,所以我尝试连接到我的SSL服务器而不在客户端进行身份验证。当我这样做时,我在服务器上收到以下错误:

, in accept_connection
    ssl_version=ssl.PROTOCOL_SSLv23
  File "/usr/lib/python2.7/ssl.py", line 933, in wrap_socket
    ciphers=ciphers)
  File "/usr/lib/python2.7/ssl.py", line 601, in __init__
    self.do_handshake()
  File "/usr/lib/python2.7/ssl.py", line 830, in do_handshake
    self._sslobj.do_handshake()
SSLEOFError: EOF occurred in violation of protocol (_ssl.c:590)

这是工作服务器和客户端代码,当我在客户端进行身份验证时,一切正常,但是当我对该行进行注释时出现错误。

服务器(python):

def accept_connection(self, sock):
    client, (addr, port) = sock.accept()
    sslclient = ssl.wrap_socket(
        client,
        server_side=True,
        certfile=self.ssl_cert_file,
        keyfile=self.ssl_key_file,
        ssl_version=ssl.PROTOCOL_SSLv23
    )

客户(C#):

public bool Connect()
    {
        try
        {
            client = new TcpClient(this.ServerAddress, this.ServerPort);

            sslStream = new SslStream(
                client.GetStream(),
                false,
                new RemoteCertificateValidationCallback(ValidateCert),
                null
            );

            try
            {
                sslStream.AuthenticateAsClient(this.ServerAddress);
            }
            catch (AuthenticationException e)
            {
                sslStream = null;
                client.Close();
                client = null;
                return false;
            }
        }
        catch (Exception e)
        {
            return false;
        }

        return true;
    }

以上是工作代码,没有错误。

当我在客户端上注释掉以下代码时:

//sslStream.AuthenticateAsClient(this.ServerAddress);

上面提到的python错误显示,并且客户端连接不会抛出任何异常并继续运行直到第一次读取,然后失败并显示:

This operation is only allowed using a successfully authenticated context.

如果我不致电AuthenticateAsClient,我该如何开展这项工作?

这就是我生成certfile和keyfile的方法

openssl req -x509 -newkey rsa:1024 -keyout my.key -out my.crt -days 365 -nodes -subj "/C=US/ST=VA/L=Junk/O=None/OU=Junk/CN=example.local"

Python是版本2.

也许我刚被误导为AuthenticateAsClient的电话是可选的?

1 个答案:

答案 0 :(得分:1)

Ssl 客户端证书身份验证确实是可选的。客户端将其证书发送到服务器,服务器验证此证书是否有效,服务器期望的是什么,并使用该证书对客户端进行身份验证。

但是,这不是

所执行的操作 
sslStream.AuthenticateAsClient(this.ServerAddress);

正如文档所述,此方法是

  

由客户调用验证服务器以及可选的客户端   在客户端 - 服务器连接中。

验证服务器(验证其证书是否有效,是否为期望的域颁发,由受信任的颁发机构颁发)是ssl握手中的必需步骤。例如,使用this link的说明,我们看到第3步是:

  

SSL或TLS客户端验证服务器的数字证书

服务器等待客户端执行此步骤的结果。因此,如果您通过注释AuthenticateAsClient的调用来跳过此步骤 - 您的python服务器会正​​确地抱怨协议违规。

要使用客户端身份验证,您将使用另一个重载:

X509CertificateCollection clientCerts = GetClientCerts();
sslStream.AuthenticateAsClient(this.ServerAddress, clientCerts, true);

由于您没有这样做 - 您没有执行(可选)客户端身份验证。

相关问题
最新问题