【发布时间】:2016-06-24 20:34:27
【问题描述】:
我正在用 C++ 编写一个“终端”,客户端可以使用 SSL 连接到该终端以加密连接。我使用Boost::asio 来处理套接字和 SSL。
我正在像这样启动 SSL-Context:
boost::asio::ssl::context context_(io_service_, boost::asio::ssl::context::tlsv1);
如您所见,我将 SSL-Version 设置为 TLSv1。
这是上下文选项:
context_.set_options(boost::asio::ssl::context::default_workarounds
| boost::asio::ssl::context::no_sslv2
| boost::asio::ssl::context::single_dh_use);
context_.use_certificate_chain_file("CERTS/server.crt");
context_.use_private_key_file("CERTS/server.key", boost::asio::ssl::context::pem);
context_.use_tmp_dh_file("CERTS/dh512.pem");
当我现在使用 openssl s_client -connect localhost:8000 -tls1 连接到我的服务器时,服务器端的握手失败并出现错误:
“sslv3 警报握手失败”
另外,我注意到客户端有一条奇怪的线:
"140030998197920:error:14082174:SSL 例程:SSL3_CHECK_CERT_AND_ALGORITHM:dh 密钥太小:s3_clnt.c:3329:"
这是什么意思?我在创建证书时犯了错误吗?我完全按照the answer to this question 中的描述做了。
【问题讨论】:
-
只使用
boost::asio::ssl::context::no_sslv2表示可以使用SSLv3记录层。您可能应该 OR-inboost::asio::ssl::context::no_sslv3。boost::asio::ssl::context::single_dh_use会破坏性能。可以考虑生成一个,用一个小时,再生成一个,用一个小时等等。DH太小的问题,见SSL operation failed with code 1: dh key too small。
标签: c++ ssl boost openssl ssl-certificate