我有一个.pfx文件,在Windows客户端上使用时可以完美地连接到远程服务器。我现在想使用 linux 客户端连接到服务器。
问题 1)我使用以下 openssl 命令从 pfx 文件中提取公共证书和私钥,
openssl pkcs12 -in Name.pfx -nocerts -out priv.pem -nodes
openssl pkcs12 -in Name.pfx -nokeys -out pub.pem
但是当我运行以下两个命令来验证两个文件的 md5 时,我发现它们都不同。
openssl rsa -noout -text -in priv.pem | openssl md5
openssl x509 -noout -text -in pub.pem | openssl md5
问题 2)相反,我使用以下命令从具有证书和密钥的 pfx 中提取单个 pem 文件。
openssl pkcs12 -in Name.pfx -out bundle.pem
使用此 pem 文件,我尝试使用以下命令连接到远程服务器:
openssl s_client -servername 1.2.3.4 -connect 1.2.3.4:1234 -CAfile bundle.pem -state -tls1_2
这在终端上给出了以下输出
CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:SSLv3 write client hello A
SSL_connect:SSLv3 read server hello A
depth=0 O = "My Name", CN = Name - Local
verify return:1
SSL_connect:SSLv3 read server certificate A
SSL_connect:SSLv3 read server key exchange A
SSL_connect:SSLv3 read server certificate request A
SSL_connect:SSLv3 read server done A
SSL_connect:SSLv3 write client certificate A
SSL_connect:SSLv3 write client key exchange A
SSL_connect:SSLv3 write change cipher spec A
SSL_connect:SSLv3 write finished A
SSL_connect:SSLv3 flush data
SSL3 alert read:fatal:handshake failure
SSL_connect:failed in SSLv3 read finished A
140250807310240:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1275:SSL alert number 40
140250807310240:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:598:
---
Certificate chain
0 s:/O=My Name /CN=Name - Local
i:/O=My Name /CN=Name - Local
---
Server certificate
-----BEGIN CERTIFICATE-----
<random string of certificate>
-----END CERTIFICATE-----
subject=/O=My Name /CN=Name - Local
issuer=/O=My Name /CN=Name - Local
---
No client certificate CA names sent
Server Temp Key: ECDH, secp521r1, 521 bits
---
SSL handshake has read 1332 bytes and written 206 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: <some string>
Session-ID-ctx:
Master-Key: <some string>
Key-Arg : None
Krb5 Principal: None
PSK identity: None
PSK identity hint: None
Start Time: 1495217834
Timeout : 7200 (sec)
Verify return code: 0 (ok)
---
我不知道为什么握手失败。卡了3天,问题到底出在哪里。
但是当我运行以下两个命令来验证两个文件的 md5 时,我发现它们都不同。
openssl rsa -noout -text -in priv.pem | openssl md5 openssl x509 -noout -text -in pub.pem | openssl md5
第一个命令显示有关私钥的文本信息。有关包含公钥的证书的第二个文本信息。当然,这些信息是不同的。
使用此 pem 文件,我尝试使用以下命令连接到远程服务器:
openssl s_client -servername 1.2.3.4 -connect 1.2.3.4:1234 -CAfile bundle.pem -state -tls1_2
这会将证书用作受信任的 CA (-CAfile)。这可能不是您想要的。相反,您希望将证书用作客户端证书。这应该通过使用选项-cert和-key来完成,即-cert bundle.pem -key bundle.pem在你的情况下。
除此之外,-servername应该是主机名而不是IP地址。如果您没有主机名,请跳过此选项。
SSL_connect:SSLv3 read server certificate request A ... SSL_connect:SSLv3 write client certificate A ... SSL3 alert read:fatal:handshake failure
由于未正确指定客户端证书,因此将发送空客户端证书。但服务器需要有效的客户端证书,因此将 SSL 警报中的失败握手报告回客户端。