Curl 不发送客户端证书
Curl is not sending client certificate
我正在尝试发送一个简单的 curl 请求:
curl -k -i --key ./key.pem --cert ./cert.pem https://target_ip/whatever/
我遇到的问题是它不发送任何证书。验证显然通过了,否则我会收到诸如密钥不匹配之类的错误,但随后我可以在 wireshark 中看到证书没有在 Client Hello 周围的 TCP 连接中发送。 --verbose 或 --cacert 之类的开关也没什么作用。
我能够通过邮递员成功发送完全相同的证书。
我尝试从各种来源发送相同的 curl 请求,例如我的 WSL2 ubuntu、云中的 debian 容器、虚拟机……
为什么它不发送证书的任何提示?
编辑 I - curl -v
的输出
* Trying 52.xxx.xxx.xx:443...
* TCP_NODELAY set
* Connected to 52.xxx.xxx.xx (52.xxx.xxx.xx) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: CN=NGINXIngressController
* start date: Aug 10 18:08:13 2020 GMT
* expire date: Aug 10 18:08:13 2021 GMT
* issuer: CN=NGINXIngressController
* SSL certificate verify result: self signed certificate (18), continuing anyway.
> GET /whatever/ HTTP/1.1
> Host: custom.localhost.dev
> User-Agent: curl/7.68.0
> Accept: */*
> Authorization: Bearer eyJ0...
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
< Server: nginx/1.19.0
Server: nginx/1.19.0
< Date: Mon, 10 Aug 2020 22:23:24 GMT
Date: Mon, 10 Aug 2020 22:23:24 GMT
< Content-Type: text/html
Content-Type: text/html
< Content-Length: 153
Content-Length: 153
< Connection: keep-alive
Connection: keep-alive
<
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.19.0</center>
</body>
</html>
* Connection #0 to host 52.xxx.xxx.xx left intact
编辑 II - wireshark 捕获
pcap的匿名化好像太麻烦了,就放几张吧。希望你能看到你需要的一切。我已经突出显示了我(没有)看到正在发送的证书的数据包。请注意,我是 运行 我 windows 工作站上的邮递员,而 curl 在 WSL2 中,因此源地址不同。 curl 的其他主机确实表现相同。
卷曲
邮递员
编辑 III - 客户问候
卷曲
邮递员
ClientHello 显示了一个明显的区别:postman 使用 server_name 扩展 (SNI) 来提供预期的主机名,而 curl 则没有。
这可能会触发 Web 服务器中配置的不同部分:postman 会触发对特定虚拟主机的访问,如 server_name 而 curl 可能会 运行 进入默认配置。假设只有特定的虚拟主机启用客户端证书,这就解释了为什么服务器只将 CertificateRequest 发送给邮递员而不发送给 curl。
不清楚这个主机名是什么,但根据长度,它不可能是 IP 地址。因此邮递员必须以某种方式知道服务器的预期主机名,即使它声称访问仅通过 https://target_ip/ 完成,即没有给定的主机名。 curl 无法从此 URL 派生出预期的主机名,因此无法设置 server_name。要使 curl 知道要设置 server_name 的主机名,同时仍然能够访问特定 IP,请使用 --resolve 选项:
curl --resolve hostname:443:target_ip https://hostname/
我正在尝试发送一个简单的 curl 请求:
curl -k -i --key ./key.pem --cert ./cert.pem https://target_ip/whatever/
我遇到的问题是它不发送任何证书。验证显然通过了,否则我会收到诸如密钥不匹配之类的错误,但随后我可以在 wireshark 中看到证书没有在 Client Hello 周围的 TCP 连接中发送。 --verbose 或 --cacert 之类的开关也没什么作用。
我能够通过邮递员成功发送完全相同的证书。
我尝试从各种来源发送相同的 curl 请求,例如我的 WSL2 ubuntu、云中的 debian 容器、虚拟机……
为什么它不发送证书的任何提示?
编辑 I - curl -v
的输出* Trying 52.xxx.xxx.xx:443...
* TCP_NODELAY set
* Connected to 52.xxx.xxx.xx (52.xxx.xxx.xx) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: CN=NGINXIngressController
* start date: Aug 10 18:08:13 2020 GMT
* expire date: Aug 10 18:08:13 2021 GMT
* issuer: CN=NGINXIngressController
* SSL certificate verify result: self signed certificate (18), continuing anyway.
> GET /whatever/ HTTP/1.1
> Host: custom.localhost.dev
> User-Agent: curl/7.68.0
> Accept: */*
> Authorization: Bearer eyJ0...
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
< Server: nginx/1.19.0
Server: nginx/1.19.0
< Date: Mon, 10 Aug 2020 22:23:24 GMT
Date: Mon, 10 Aug 2020 22:23:24 GMT
< Content-Type: text/html
Content-Type: text/html
< Content-Length: 153
Content-Length: 153
< Connection: keep-alive
Connection: keep-alive
<
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.19.0</center>
</body>
</html>
* Connection #0 to host 52.xxx.xxx.xx left intact
编辑 II - wireshark 捕获
pcap的匿名化好像太麻烦了,就放几张吧。希望你能看到你需要的一切。我已经突出显示了我(没有)看到正在发送的证书的数据包。请注意,我是 运行 我 windows 工作站上的邮递员,而 curl 在 WSL2 中,因此源地址不同。 curl 的其他主机确实表现相同。
卷曲
邮递员
编辑 III - 客户问候
卷曲
邮递员
ClientHello 显示了一个明显的区别:postman 使用 server_name 扩展 (SNI) 来提供预期的主机名,而 curl 则没有。
这可能会触发 Web 服务器中配置的不同部分:postman 会触发对特定虚拟主机的访问,如 server_name 而 curl 可能会 运行 进入默认配置。假设只有特定的虚拟主机启用客户端证书,这就解释了为什么服务器只将 CertificateRequest 发送给邮递员而不发送给 curl。
不清楚这个主机名是什么,但根据长度,它不可能是 IP 地址。因此邮递员必须以某种方式知道服务器的预期主机名,即使它声称访问仅通过 https://target_ip/ 完成,即没有给定的主机名。 curl 无法从此 URL 派生出预期的主机名,因此无法设置 server_name。要使 curl 知道要设置 server_name 的主机名,同时仍然能够访问特定 IP,请使用 --resolve 选项:
curl --resolve hostname:443:target_ip https://hostname/