使用客户端证书和 TLS_RSA_WITH_AES_256_CBC_SHA256 密码套件
Use Client Cert and TLS_RSA_WITH_AES_256_CBC_SHA256 cipher suite
更新: 我的许多问题都与不知道如何 post 客户端证书有关。我把那些 .
我正在使用 Ruby 连接到仅支持 TLS_RSA_WITH_AES_256_CBC_SHA256 密码的 SSL 服务器。我还需要提供客户证书。
当我查看来自 OpenSSL::Cipher.ciphers 的可用密码时,TLS_RSA_WITH_AES_256_CBC_SHA256 未列为选项。
如何将此密码添加到可用密码中?
谢谢!
这是我的代码:
http = Net::HTTP.new(uri.host, uri.port)
http.use_ssl = true
http.cert = OpenSSL::X509::Certificate.new(File.read("my.cer"))
http.ca_file = 'their_root.cer'
http.ciphers = ['AES256-SHA256']
http.verify_mode = OpenSSL::SSL::VERIFY_PEER
http.ssl_version = :SSLv23
request = Net::HTTP::Post.new(uri.request_uri)
request.body = my_xml
response = http.request(request)
我收到的错误:
OpenSSL::SSL::SSLError: SSL_connect returned=1 errno=0 state=SSLv3 read finished A: sslv3 alert handshake failure
检查数据包显示服务器终止并显示消息 "Handshake Failure (40)",这似乎是密码问题。
我不是从命令行连接,但这里是 openssl s_client:
的结果
$ openssl s_client -connect dir-staging.surescripts.net:443 -tls1 -servername dir-staging.surescripts.net
CONNECTED(00000003)
depth=2 /C=US/O=Surescripts LLC./OU=Surescripts Certification Authorities/CN=Surescripts Root Certification Authority
verify error:num=19:self signed certificate in certificate chain
verify return:0
14089:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:/SourceCache/OpenSSL098/OpenSSL098-52.20.2/src/ssl/s3_pkt.c:1145:SSL alert number 40
14089:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/SourceCache/OpenSSL098/OpenSSL098-52.20.2/src/ssl/s3_pkt.c:566:
根据 openssl, this is also called "AES256-SHA256". According to Ruby lang,AES256-SHA256 被认为是不安全的,因此被禁用。 link 包含 "patch" 以重新启用不安全的密码。
您可能想就您的组织所涉及的风险向安全专家寻求建议。
(编辑) "self signed certificate in certificate chain" 的错误需要 taken care 的。
When I look at the available ciphers from OpenSSL::Cipher.ciphers, TLS_RSA_WITH_AES_256_CBC_SHA256 is not listed as an option.
以下 OpenSSL 命令将为您列出相关密码:
$ openssl ciphers -v 'ALL:!RC4:!MD5:!aNULL' | grep AES256 | grep SHA256`.
结果是:
DHE-RSA-AES256-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(256) Mac=SHA256
DHE-DSS-AES256-SHA256 TLSv1.2 Kx=DH Au=DSS Enc=AES(256) Mac=SHA256
DH-RSA-AES256-SHA256 TLSv1.2 Kx=DH/RSA Au=DH Enc=AES(256) Mac=SHA256
DH-DSS-AES256-SHA256 TLSv1.2 Kx=DH/DSS Au=DH Enc=AES(256) Mac=SHA256
AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256
基于Is it possible to enable TLS v1.2 in Ruby? If so, how?,您接下来应该尝试更改以下内容:
http.ssl_version = :SSLv23
收件人:
ctx = OpenSSL::SSL::SSLContext.new
ctx.ssl_version = :TLSv1_2
How can I add this cipher to the available ciphers?
基于编辑您的问题:
$ openssl s_client -connect dir-staging.surescripts.net:443 -tls1 -servername dir-staging.surescripts.net
14089:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:/SourceCache/OpenSSL098/OpenSSL098-52.20.2/src/ssl/s3_pkt.c:1145:SSL alert number 40
14089:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/SourceCache/OpenSSL098/OpenSSL098-52.20.2/src/ssl/s3_pkt.c:566:
OpenSSL 0.9.8 不 支持 TLS 1.2。您应该移至 OpenSSL 1.0.0 或更高版本。 OpenSSL 1.0.2 是最新的,鼓励您使用它。
更新: 我的许多问题都与不知道如何 post 客户端证书有关。我把那些
我正在使用 Ruby 连接到仅支持 TLS_RSA_WITH_AES_256_CBC_SHA256 密码的 SSL 服务器。我还需要提供客户证书。
当我查看来自 OpenSSL::Cipher.ciphers 的可用密码时,TLS_RSA_WITH_AES_256_CBC_SHA256 未列为选项。
如何将此密码添加到可用密码中?
谢谢!
这是我的代码:
http = Net::HTTP.new(uri.host, uri.port)
http.use_ssl = true
http.cert = OpenSSL::X509::Certificate.new(File.read("my.cer"))
http.ca_file = 'their_root.cer'
http.ciphers = ['AES256-SHA256']
http.verify_mode = OpenSSL::SSL::VERIFY_PEER
http.ssl_version = :SSLv23
request = Net::HTTP::Post.new(uri.request_uri)
request.body = my_xml
response = http.request(request)
我收到的错误:
OpenSSL::SSL::SSLError: SSL_connect returned=1 errno=0 state=SSLv3 read finished A: sslv3 alert handshake failure
检查数据包显示服务器终止并显示消息 "Handshake Failure (40)",这似乎是密码问题。
我不是从命令行连接,但这里是 openssl s_client:
的结果$ openssl s_client -connect dir-staging.surescripts.net:443 -tls1 -servername dir-staging.surescripts.net
CONNECTED(00000003)
depth=2 /C=US/O=Surescripts LLC./OU=Surescripts Certification Authorities/CN=Surescripts Root Certification Authority
verify error:num=19:self signed certificate in certificate chain
verify return:0
14089:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:/SourceCache/OpenSSL098/OpenSSL098-52.20.2/src/ssl/s3_pkt.c:1145:SSL alert number 40
14089:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/SourceCache/OpenSSL098/OpenSSL098-52.20.2/src/ssl/s3_pkt.c:566:
根据 openssl, this is also called "AES256-SHA256". According to Ruby lang,AES256-SHA256 被认为是不安全的,因此被禁用。 link 包含 "patch" 以重新启用不安全的密码。
您可能想就您的组织所涉及的风险向安全专家寻求建议。
(编辑) "self signed certificate in certificate chain" 的错误需要 taken care 的。
When I look at the available ciphers from
OpenSSL::Cipher.ciphers,TLS_RSA_WITH_AES_256_CBC_SHA256is not listed as an option.
以下 OpenSSL 命令将为您列出相关密码:
$ openssl ciphers -v 'ALL:!RC4:!MD5:!aNULL' | grep AES256 | grep SHA256`.
结果是:
DHE-RSA-AES256-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(256) Mac=SHA256
DHE-DSS-AES256-SHA256 TLSv1.2 Kx=DH Au=DSS Enc=AES(256) Mac=SHA256
DH-RSA-AES256-SHA256 TLSv1.2 Kx=DH/RSA Au=DH Enc=AES(256) Mac=SHA256
DH-DSS-AES256-SHA256 TLSv1.2 Kx=DH/DSS Au=DH Enc=AES(256) Mac=SHA256
AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256
基于Is it possible to enable TLS v1.2 in Ruby? If so, how?,您接下来应该尝试更改以下内容:
http.ssl_version = :SSLv23
收件人:
ctx = OpenSSL::SSL::SSLContext.new
ctx.ssl_version = :TLSv1_2
How can I add this cipher to the available ciphers?
基于编辑您的问题:
$ openssl s_client -connect dir-staging.surescripts.net:443 -tls1 -servername dir-staging.surescripts.net
14089:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:/SourceCache/OpenSSL098/OpenSSL098-52.20.2/src/ssl/s3_pkt.c:1145:SSL alert number 40
14089:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/SourceCache/OpenSSL098/OpenSSL098-52.20.2/src/ssl/s3_pkt.c:566:
OpenSSL 0.9.8 不 支持 TLS 1.2。您应该移至 OpenSSL 1.0.0 或更高版本。 OpenSSL 1.0.2 是最新的,鼓励您使用它。