我有几个运行Centos 5.11 的虚拟机(由于多种原因无法升级)
作为验证机器是否与此处描述的新PayPal更新兼容的检查:https://www.paypal-knowledge.com/infocenter/index?page=content&widgetview=true&id=FAQ1766&viewlocale=en_US
我在一个shell中运行了这个:
grep -C 5 --color=always "VeriSign Class 3 Public Primary Certification Authority - G5" /etc/pki/tls/certs/ca-bundle.crt
一切看起来都很好,这是输出:
数据:版本:3(0x2)序列号:18:da:d1:9e:26:7d:e8:bb:4a:21:58:cd:cc:6b:3b:4a签名算法:sha1WithRSAE加密发卡机构:C=US,O=VeriSign,股份有限公司,OU=VeriSignTrust Network,OU=(C)2006 VeriSign(股份有限公司)-仅限授权使用,CN=VeriSign Class 3 Public Primary Certification Authority-G5有效性不在此之前:2006年11月8日00:00:00 GMT不在:7月16日23:59:59 2036 GMT主题:C=US,O=VeriSign,股份有限公司,OU=VeriSignTrust Network,OU=(C)2006威瑞信,股份有限公司-仅供授权使用,CN=威瑞信3级公共初级认证机构-G5主题公钥信息:公钥算法:rsaEncryption公钥:(2048位)模量:00:af:24:08:29:7a:35:9e:60:0c:aa:e7:4b:3b:
对我来说,这意味着新的G5根证书实际上就在那里。然而,当针对沙箱进行测试时,应该已经使用了以下命令的新规范:
openssl s_client -connect api-3t.sandbox.paypal.com:443 -showcerts
答案是:
CONNECTED(00000003)
2052:错误:14077410:SSL例程:SSL23_GET_SERVER_HELLO:sslv3警报握手失败:s23_clnt.c:586:
当然,在非沙箱链接上执行相同操作时没有问题。
我被困在这里101%。证书在那里,但我还是失败了?已安装的Openssl(以及通过官方转发的最新版本)是Openssl-0.9.8e-40.el5_11。
我看到了其他几个关于握手问题的问题,但似乎都没有解决这样的问题(证书已到位,但连接仍然存在问题)。
你知道为什么会发生这种事吗?
编辑:通过尝试以这种方式在调用中遵循ssl3:
openssl s_client -ssl3 -connect api-3t.sandbox.paypal.com:443 -showcerts
我得到的是:
CONNECTED(00000003)
6064:错误:14094410:SSL例程:SSL3_READ_BYTES:sslv3警报握手失败:s3_pkt.c:1092:SSL警报编号40
6064:error:1409E0E5:SSL例程:SSL_3_WRITE_BYTES:SSL握手失败:s3_pkt.c:536:
openssl-0.9.8e-40.el5_11。
Paypal要求您支持TLS 1.2。TLS 1.2仅在4年前发布的OpenSSL 1.0.1版本之后才受支持。由于旧版本的OpenSSL不支持TLS 1.2,但最多支持TLS 1.0,因此会出现握手错误。这与证书无关。