SOAP::Lite 连接到 SSL 服务器
SOAP::Lite connection to SSL Server
我对 Perl 完全陌生。我用 C# 运行ning 在 Windows 框上编写了一个 Web 服务,并使用 SOAP::Lite 从 Linux 框上的 Perl 脚本调用它。我的代码使用 http:// 处理程序工作正常。我现在正试图让它与 https://
一起工作
密码是:
use SOAP::Lite;
use POSIX;
#Tell Perl to trust the testserver's cert
#$ENV{HTTPS_CA_DIR} = '/usr/local/share/ca-certificates';
$ENV{HTTPS_CA_FILE} = '/home/myusername/TestServer_CA_Cert.cer';
#$ENV{PERL_LWP_SSL_VERIFY_HOSTNAME} = 0;
my $uri = 'http://Automation/';
my $proxy = 'https://TestServer/ToolsAutomation/AutomationInterface.asmx';
my $method = SOAP::Data->name('SubmitAutomationJob')->attr({xmlns => $uri});
#-Code that sets us @params deleted for readability-
my $myServer = SOAP::Lite
-> on_action(sub {join '', $uri, $_[1]})
-> proxy($proxy)
# -> proxy($proxy, ssl_opts => [ SSL_verify_mode => 0 ] )
# -> proxy($proxy, ssl_opts => [SSL_ca_file => $ServerCACert])
;
my $myCALL = $myServer #This is line 36 in the original script
-> call($method => @params);
print 'Result: ' . $myCALL->result;
当我 运行 发布代码时,出现错误“500 无法连接到第 36 行的 TestServer:443。”服务器端的网络跟踪显示客户端发送 SYN,服务器发送 SYN/ACK,客户端发送和 ACK,然后客户端立即发送 FIN/ACK.
我尝试了各种方法来让它工作。我试过:
- 取消对行
#$ENV{PERL_LWP_SSL_VERIFY_HOSTNAME} = 0; 的注释会导致“500 无法连接到 TestServer:443(证书验证失败)。网络跟踪显示至少部分 HTTPS 协商正在运行。
- 取消对行
proxy($proxy, ssl_opts => [ SSL_verify_mode => 0 ] ) 的注释有效,但当然这不会验证服务器的身份。
- 取消注释行
-> proxy($proxy, ssl_opts => [SSL_ca_file => $ServerCACert]) 也会产生 "certificate verify failed" 错误。
- 将路径更改为
$ENV{HTTPS_CA_FILE} 在第 36 行出现错误 "SSL_ca_file /home/myusername/TestServer_CA_cert.ceeer does not exist"。我认为这是一个好兆头;该代码正在查找我告诉它用于服务器身份验证的证书。
- 取消注释
$ENV{HTTPS_CA_DIR} 和 $ENV{HTTPS_CA_FILE} 行给出错误 "only SSL_ca_path or SSL_ca_file should be given."
我已经将我的 CA 证书导入到 Linux 机器上的 Firefox 中,并且在没有收到 SSL 警告的情况下成功浏览到我的测试服务器,然后从 Firefox 中删除证书并浏览回来并收到 SSL 警告,所以我有理由相信我拥有的证书文件是好的。
有没有人对如何修复此代码有任何想法?我应该检查 CA 证书本身的某些属性吗?令我感到困惑的是,Firefox 可以毫无问题地信任使用该 CA 证书签署 SSL 证书的服务器,但我无法说服 Perl 这样做。
欢迎任何反馈。请记住:我绝对是 Perl n00b。在我用谷歌搜索如何从 Perl 调用 Web 服务之前,我对 Perl 的唯一了解是 "Larry Wall."
谢谢!
更新:
应以下 Steffen Ullrich 的要求,我 运行 以下内容:
perl -MIO::Socket::SSL=debug4 program.pl
我收到的输出是:
me@myMachine:~$ perl -MIO::Socket::SSL=debug4 ./program.pl
DEBUG: .../IO/Socket/SSL.pm:402: socket not yet connected
DEBUG: .../IO/Socket/SSL.pm:404: socket connected
DEBUG: .../IO/Socket/SSL.pm:422: ssl handshake not started
DEBUG: .../IO/Socket/SSL.pm:1388: SSL structure creation failed
When I run the code as posted, I get error "500 Can't connect to TestServer:443 at line 36." A network trace on the server side shows the client sends a SYN, server sends a SYN/ACK, client sends and ACK, then the client immediately sends a FIN/ACK.
如果这真的像您描述的那样,则不会交换任何数据,这意味着客户端甚至不会尝试进行 SSL 握手。这意味着您调用它的方式可能是错误的:
# -> proxy($proxy, ssl_opts => [ SSL_verify_mode => 0 ] )
# -> proxy($proxy, ssl_opts => [SSL_ca_file => $ServerCACert])
我很确定 ssl_opts 不需要数组 ([...]),而是散列 ({...})。
编辑:
看起来您需要一个数组而不是散列,因为 ssl_opts 由 SOAP::Lite 以特殊方式处理,即它们没有像文档暗示的那样直接提供给 LWP::UserAgent 的构造函数.我 filed a bug about it.
DEBUG: .../IO/Socket/SSL.pm:1388: SSL structure creation failed
根据我从您那里得到的代码,我可以重现该问题,但前提是给定的 CA 文件已损坏。我希望你是这种情况。请注意,该文件必须如下所示:
-----BEGIN CERTIFICATE-----
MIIDKDCCApGgAwIBAgIJAOetiwdVihcnMA0GCSqGSIb3DQEBBQUAMGwxCzAJBgNV
.... more base64 encoded stuff ...
M0LUhtV8z6OcURDEfnQBsgLCPODc9Mg4FEViDGVaZ1i233ZeAlLzXSZeXL8=
-----END CERTIFICATE-----
Steffen 提供了正确的问题解决方案。当我最初从 Windows CA 导出 CA 证书时,我将其导出为 "DER encoded binary X.509" 格式。这就是失败的原因。
我以 "Base-64 encoded X.509" 格式重新导出证书并在我的 Perl 脚本中使用它,现在一切正常。
我对 Perl 完全陌生。我用 C# 运行ning 在 Windows 框上编写了一个 Web 服务,并使用 SOAP::Lite 从 Linux 框上的 Perl 脚本调用它。我的代码使用 http:// 处理程序工作正常。我现在正试图让它与 https://
密码是:
use SOAP::Lite;
use POSIX;
#Tell Perl to trust the testserver's cert
#$ENV{HTTPS_CA_DIR} = '/usr/local/share/ca-certificates';
$ENV{HTTPS_CA_FILE} = '/home/myusername/TestServer_CA_Cert.cer';
#$ENV{PERL_LWP_SSL_VERIFY_HOSTNAME} = 0;
my $uri = 'http://Automation/';
my $proxy = 'https://TestServer/ToolsAutomation/AutomationInterface.asmx';
my $method = SOAP::Data->name('SubmitAutomationJob')->attr({xmlns => $uri});
#-Code that sets us @params deleted for readability-
my $myServer = SOAP::Lite
-> on_action(sub {join '', $uri, $_[1]})
-> proxy($proxy)
# -> proxy($proxy, ssl_opts => [ SSL_verify_mode => 0 ] )
# -> proxy($proxy, ssl_opts => [SSL_ca_file => $ServerCACert])
;
my $myCALL = $myServer #This is line 36 in the original script
-> call($method => @params);
print 'Result: ' . $myCALL->result;
当我 运行 发布代码时,出现错误“500 无法连接到第 36 行的 TestServer:443。”服务器端的网络跟踪显示客户端发送 SYN,服务器发送 SYN/ACK,客户端发送和 ACK,然后客户端立即发送 FIN/ACK.
我尝试了各种方法来让它工作。我试过:
- 取消对行
#$ENV{PERL_LWP_SSL_VERIFY_HOSTNAME} = 0;的注释会导致“500 无法连接到 TestServer:443(证书验证失败)。网络跟踪显示至少部分 HTTPS 协商正在运行。 - 取消对行
proxy($proxy, ssl_opts => [ SSL_verify_mode => 0 ] )的注释有效,但当然这不会验证服务器的身份。 - 取消注释行
-> proxy($proxy, ssl_opts => [SSL_ca_file => $ServerCACert])也会产生 "certificate verify failed" 错误。 - 将路径更改为
$ENV{HTTPS_CA_FILE}在第 36 行出现错误 "SSL_ca_file /home/myusername/TestServer_CA_cert.ceeer does not exist"。我认为这是一个好兆头;该代码正在查找我告诉它用于服务器身份验证的证书。 - 取消注释
$ENV{HTTPS_CA_DIR}和$ENV{HTTPS_CA_FILE}行给出错误 "only SSL_ca_path or SSL_ca_file should be given."
我已经将我的 CA 证书导入到 Linux 机器上的 Firefox 中,并且在没有收到 SSL 警告的情况下成功浏览到我的测试服务器,然后从 Firefox 中删除证书并浏览回来并收到 SSL 警告,所以我有理由相信我拥有的证书文件是好的。
有没有人对如何修复此代码有任何想法?我应该检查 CA 证书本身的某些属性吗?令我感到困惑的是,Firefox 可以毫无问题地信任使用该 CA 证书签署 SSL 证书的服务器,但我无法说服 Perl 这样做。
欢迎任何反馈。请记住:我绝对是 Perl n00b。在我用谷歌搜索如何从 Perl 调用 Web 服务之前,我对 Perl 的唯一了解是 "Larry Wall."
谢谢!
更新:
应以下 Steffen Ullrich 的要求,我 运行 以下内容:
perl -MIO::Socket::SSL=debug4 program.pl
我收到的输出是:
me@myMachine:~$ perl -MIO::Socket::SSL=debug4 ./program.pl
DEBUG: .../IO/Socket/SSL.pm:402: socket not yet connected
DEBUG: .../IO/Socket/SSL.pm:404: socket connected
DEBUG: .../IO/Socket/SSL.pm:422: ssl handshake not started
DEBUG: .../IO/Socket/SSL.pm:1388: SSL structure creation failed
When I run the code as posted, I get error "500 Can't connect to TestServer:443 at line 36." A network trace on the server side shows the client sends a SYN, server sends a SYN/ACK, client sends and ACK, then the client immediately sends a FIN/ACK.
如果这真的像您描述的那样,则不会交换任何数据,这意味着客户端甚至不会尝试进行 SSL 握手。这意味着您调用它的方式可能是错误的:
# -> proxy($proxy, ssl_opts => [ SSL_verify_mode => 0 ] )
# -> proxy($proxy, ssl_opts => [SSL_ca_file => $ServerCACert])
我很确定 ssl_opts 不需要数组 ([...]),而是散列 ({...})。
编辑:
看起来您需要一个数组而不是散列,因为 ssl_opts 由 SOAP::Lite 以特殊方式处理,即它们没有像文档暗示的那样直接提供给 LWP::UserAgent 的构造函数.我 filed a bug about it.
DEBUG: .../IO/Socket/SSL.pm:1388: SSL structure creation failed
根据我从您那里得到的代码,我可以重现该问题,但前提是给定的 CA 文件已损坏。我希望你是这种情况。请注意,该文件必须如下所示:
-----BEGIN CERTIFICATE-----
MIIDKDCCApGgAwIBAgIJAOetiwdVihcnMA0GCSqGSIb3DQEBBQUAMGwxCzAJBgNV
.... more base64 encoded stuff ...
M0LUhtV8z6OcURDEfnQBsgLCPODc9Mg4FEViDGVaZ1i233ZeAlLzXSZeXL8=
-----END CERTIFICATE-----
Steffen 提供了正确的问题解决方案。当我最初从 Windows CA 导出 CA 证书时,我将其导出为 "DER encoded binary X.509" 格式。这就是失败的原因。
我以 "Base-64 encoded X.509" 格式重新导出证书并在我的 Perl 脚本中使用它,现在一切正常。