如何在 PHP 中将受信任的证书颁发机构列表设置为套接字客户端?
How to set trusted certificate authorities list to socket client in PHP?
在 IHE Connectathon 的上下文中,我想制作一个响应 ATNA 配置文件的原始套接字服务器,这需要具有两端证书的 TLS 套接字。
如果在此消息中总结我的问题:
https://groups.google.com/d/msg/eu_connectathon/O-VGI_3cltw/ARsElA65ZkkJ
编辑:抱歉,Google 群组不是 public,这是消息:
Hi Florian,
What exactly does the error message "Server asked for a certificate,
but list of issuers doesn't contain valid certificate authority."
mean and did the implementation of the TLS Tools Client change during
the last years, or am I using the wrong certificates?
该消息表示服务器已发送 CertificateRequest
certificate_authorities 中没有值的给客户端的消息
场.
我 运行 去年遇到过这个问题并与开发人员讨论过这个问题
TLS 工具。他声称如果服务器不包含这个
现场,客户不知道什么样的证书
return,假设您将连接前多个
亲和域,每个域都有自己的 CA。
看来您可以通过以下方式指示 OpenSSL return 这个值
调用 SSL_CTX_set_client_CA_list,例如在
DcmTLSTransportLayer::addTrustedCertificateFile。我没有测试过这个
还没有使用 TLS 工具,但我希望在
connectathon 开始。
但我在 PHP 中的实现与他们的不同。
看起来 PHP 缺少 "SSL CTX set client CA list" 可能性,告诉客户端它应该使用哪个证书颁发机构。
$context = stream_context_create();
if ($certificate) {
// Server certificate + private key
stream_context_set_option($context, 'ssl', 'local_cert', "/path/to/server.pem");
stream_context_set_option($context, 'ssl', 'passphrase', $passphrase);
// Client public certificates
stream_context_set_option($context, 'ssl', 'cafile', "/path/to/ca.pem");
stream_context_set_option($context, 'ssl', 'allow_self_signed', false);
stream_context_set_option($context, 'ssl', 'verify_peer', true);
stream_context_set_option($context, 'ssl', 'peer_name', "TlsTools2");
stream_context_set_option($context, 'ssl', 'capture_peer_cert', true);
stream_context_set_option($context, 'ssl', 'capture_peer_cert_chain', true);
}
$this->__socket = @stream_socket_server("tcp://$address:$port", $errno, $errstr, STREAM_SERVER_BIND | STREAM_SERVER_LISTEN, $context);
IHE Gazelle TLS 客户端告诉我 "Server asked for a certificate, but list of issuers doesn't contain valid certificate authority."
客户端和服务器之间的消息通过,但测试不OK,如"not enough secure",如消息所述。
您看到问题了吗?PHP 是否有更多我没有看到的选项?
感谢您的帮助。
编辑:正如@rdlowrey 建议的那样,我刚刚创建了一个错误报告:https://bugs.php.net/bug.php?id=69215
正如我在最初评论中提到的:
PHP's stream server implementation has never actually used SSL_CTX_set_client_CA_list() for encrypted streams.
这已在相关错误报告中引用的上游得到更正:
https://bugs.php.net/bug.php?id=69215
此更改将在 PHP 5.6.8 二进制文件发布后反映出来(或者您可以在该版本之前针对当前源手动构建 PHP)。
实施
使用更新的二进制文件,OP 的示例代码无需修改即可按预期工作。在服务器中使用的加密上下文的简单示例:
<?php
$serverCtx = stream_context_create(['ssl' => [
'local_cert' => '/path/to/my-server-cert.pem',
'passphrase' => 'elephpant',
'cafile' => '/path/to/my-ca-certs.pem',
'verify_peer' => true
]]);
在上面的示例中,PHP 在发送客户端 CA 列表作为 TLS 握手的一部分时,自动使用在上面引用的 my-ca-certs.pem 文件中找到的证书的名称。
备注
当通过 "verify_peer" => true 在加密服务器流中启用对等验证时 PHP 将不会自动启用对等名称验证。除非您只希望允许单个证书持有者(具有特定的已知名称)访问您的服务器,否则这正是您想要的。此默认行为支持更常见的用例,即允许其证书由受信任的 CA 签名的任何客户端建立与您的服务器的连接。但是,如果您希望在加密服务器中强制执行名称验证,请修改上面的上下文示例,如下所示:
<?php
$serverCtx = stream_context_create(['ssl' => [
'local_cert' => '/path/to/my-server-cert.pem',
'passphrase' => 'elephpant',
'cafile' => '/path/to/my-ca-certs.pem',
'verify_peer' => true,
'verify_peer_name' => true, // verify the name on the cert
'peer_name' => 'zanzibar' // ensure the cert's name matches this
]]);
在 IHE Connectathon 的上下文中,我想制作一个响应 ATNA 配置文件的原始套接字服务器,这需要具有两端证书的 TLS 套接字。
如果在此消息中总结我的问题: https://groups.google.com/d/msg/eu_connectathon/O-VGI_3cltw/ARsElA65ZkkJ
编辑:抱歉,Google 群组不是 public,这是消息:
Hi Florian,
What exactly does the error message "Server asked for a certificate, but list of issuers doesn't contain valid certificate authority." mean and did the implementation of the TLS Tools Client change during the last years, or am I using the wrong certificates?
该消息表示服务器已发送 CertificateRequest certificate_authorities 中没有值的给客户端的消息 场.
我 运行 去年遇到过这个问题并与开发人员讨论过这个问题 TLS 工具。他声称如果服务器不包含这个 现场,客户不知道什么样的证书 return,假设您将连接前多个 亲和域,每个域都有自己的 CA。
看来您可以通过以下方式指示 OpenSSL return 这个值 调用 SSL_CTX_set_client_CA_list,例如在 DcmTLSTransportLayer::addTrustedCertificateFile。我没有测试过这个 还没有使用 TLS 工具,但我希望在 connectathon 开始。
但我在 PHP 中的实现与他们的不同。 看起来 PHP 缺少 "SSL CTX set client CA list" 可能性,告诉客户端它应该使用哪个证书颁发机构。
$context = stream_context_create();
if ($certificate) {
// Server certificate + private key
stream_context_set_option($context, 'ssl', 'local_cert', "/path/to/server.pem");
stream_context_set_option($context, 'ssl', 'passphrase', $passphrase);
// Client public certificates
stream_context_set_option($context, 'ssl', 'cafile', "/path/to/ca.pem");
stream_context_set_option($context, 'ssl', 'allow_self_signed', false);
stream_context_set_option($context, 'ssl', 'verify_peer', true);
stream_context_set_option($context, 'ssl', 'peer_name', "TlsTools2");
stream_context_set_option($context, 'ssl', 'capture_peer_cert', true);
stream_context_set_option($context, 'ssl', 'capture_peer_cert_chain', true);
}
$this->__socket = @stream_socket_server("tcp://$address:$port", $errno, $errstr, STREAM_SERVER_BIND | STREAM_SERVER_LISTEN, $context);
IHE Gazelle TLS 客户端告诉我 "Server asked for a certificate, but list of issuers doesn't contain valid certificate authority."
客户端和服务器之间的消息通过,但测试不OK,如"not enough secure",如消息所述。
您看到问题了吗?PHP 是否有更多我没有看到的选项?
感谢您的帮助。
编辑:正如@rdlowrey 建议的那样,我刚刚创建了一个错误报告:https://bugs.php.net/bug.php?id=69215
正如我在最初评论中提到的:
PHP's stream server implementation has never actually used SSL_CTX_set_client_CA_list() for encrypted streams.
这已在相关错误报告中引用的上游得到更正:
https://bugs.php.net/bug.php?id=69215
此更改将在 PHP 5.6.8 二进制文件发布后反映出来(或者您可以在该版本之前针对当前源手动构建 PHP)。
实施
使用更新的二进制文件,OP 的示例代码无需修改即可按预期工作。在服务器中使用的加密上下文的简单示例:
<?php
$serverCtx = stream_context_create(['ssl' => [
'local_cert' => '/path/to/my-server-cert.pem',
'passphrase' => 'elephpant',
'cafile' => '/path/to/my-ca-certs.pem',
'verify_peer' => true
]]);
在上面的示例中,PHP 在发送客户端 CA 列表作为 TLS 握手的一部分时,自动使用在上面引用的 my-ca-certs.pem 文件中找到的证书的名称。
备注
当通过 "verify_peer" => true 在加密服务器流中启用对等验证时 PHP 将不会自动启用对等名称验证。除非您只希望允许单个证书持有者(具有特定的已知名称)访问您的服务器,否则这正是您想要的。此默认行为支持更常见的用例,即允许其证书由受信任的 CA 签名的任何客户端建立与您的服务器的连接。但是,如果您希望在加密服务器中强制执行名称验证,请修改上面的上下文示例,如下所示:
<?php
$serverCtx = stream_context_create(['ssl' => [
'local_cert' => '/path/to/my-server-cert.pem',
'passphrase' => 'elephpant',
'cafile' => '/path/to/my-ca-certs.pem',
'verify_peer' => true,
'verify_peer_name' => true, // verify the name on the cert
'peer_name' => 'zanzibar' // ensure the cert's name matches this
]]);