应用openssl工具进行SSL故障分析

    当前 SSL 协议有着广泛的运用，在 SSL 服务器的身份认证出现问题时，怎样才能有效快速的找出问题的根源呢？本文结合 openssl 提供的命令行工具 s_client，罗列了多种认证失败的情况，并给出了问题诊断的方法。
    SSL 握手协议

    首先简单的介绍一下 SSL 协议建立连接的过程。如图 1 所示，主要有如下几个过程：

    图 1. SSL 身份认证及协商密钥的过程

    ●客户端发起请求，包含一个hello消息，并附上客户端支持的密码算法和 SSL 协议的版本消息以及用于生成密钥的随机数。
    ●服务器收到消息后，服务器端选择加密压缩算法并生成服务器端的随机数，将该信息反馈给客户端；接着服务器端将自身的数字证书（在图 1 中使用了一个 X.509 数字证书）发送到客户端；完成上述动作后后服务器端会发送“hello done”消息给客户端。此外如果服务器需要对客户端进行身份认证，服务器端还会发送一个请求客户端证书的消息。
    ●一旦客户端收到”hello done” , 就开始对服务器端的数字证书进行认证并检查服务器端选中的算法是可行的。如果服务器要求认证客户端身份，客户端还会发送自己的公钥证书。
    ●如果对服务器的身份认证通过，客户端会发起密钥交换的请求。
    ●服务器端和客户端根据先前协商的算法和交换随机数生成对称密钥进行后续的通信。

    s_client 简介

    openssl 提供了 SSL 协议的一个开放源代码的实现，包含三部分：ssl 库，加解密库和命令行工具。在命令行工具中 s_client 是一个以 SSL 协议连接远程服务器的客户端程序，该工具可以用于测试诊断。虽然 s_client 只提供了一些基础功能，但是其内部具体实现中使用了 ssl 库的大部分接口。

    s_client命令行的语法为：

    清单 1. s_client 参数

    openssl s_client [-connect host:port>] [-verify depth] [-cert filename] [-key filename] [-CApath directory] [-CAfile filename][-reconnect] [-pause] [-showcerts] [-debug] [-msg] [-nbio_test] [-state] [-nbio] [-crlf] [-ign_eof] [-quiet]

    常用参数的具体用途如下：

    ●-connect host:port ：指定远程服务器的地址和端口，如果没有该参数，默认值为 localhost:443 ；
    ●-cert filename：若服务器端需要验证客户端的身份，通过 -cert 指定客户端的证书文件。
    ●-key filename：指定私钥文件；
    ●-verify depth：打开服务器证书验证并定义证书验证过程中的最大深度。
    ●-showcerts：显示服务器证书链；
    ●-CAfile filename：指定用于验证服务器证书的根证书；
    ●-state：打印出 SSL 会话的状态。

 [2] [3] 下一页