使用openssl工具来验证服务器证书以及握手过程

最新推荐文章于 2024-08-13 16:09:30 发布
最新推荐文章于 2024-08-13 16:09:30 发布
阅读量1.1w 收藏 1
点赞数
分类专栏: ssl 文章标签: ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tzdjzs/article/details/28113893
版权
本文介绍了如何利用openssl工具来验证服务器证书并详细跟踪SSL握手过程,特别是在遇到SSL连接失败的问题时,如何通过openssl的-msg参数和指定协议选项进行故障排查。内容包括对网站SSL端口和邮件系统25端口的跟踪分析。
摘要由CSDN通过智能技术生成

背景

由于最近openssl的心脏问题,更换了1.0.1g的ssl库,工作上需要使用这个库连接服务器,但是发现更换库之后,对于某些域名的ssl握手就会出现失败的情况。为了找出失败的原因,最后在openssl自带的工具发现可以跟踪握手情况


跟踪网站的ssl端口

1.跟踪不带任何协议参数握手情况

openssl s_client -connect gmail.com:443
CONNECTED(00000003)
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=mail.google.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority G2
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=US/ST=California/L=Mountain View/O=Google Inc/CN=mail.google.com
issuer
最低0.47元/天 解锁文章
tzdjzs
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openssl握手协议
thinker
11-29 740
握手过程的第一条有效消息clienthello,总是从客户端先发出。 消息作用: 传送一些链接的参数为以后使用 携带客户端给出的一些连接参数的选择列表,便于服务器从中选择
openssl实现ssl握手调试工具
07-21
实现了数字证书的制作、SSL安全通讯、加解密操作等功能
openssl命令行取得服务器证书
Bruce
06-11 9878
昨天需要查看一个服务器SSL证书,因为这个服务器设置了跳转,浏览器打开之后马上就跳到另外一个服务器上,所以不能用浏览器直接查看证书使用openssl命令行很方便,google一下用法如下: openssl s_client -connect host:port -key our_private_key.pem -showcerts -cert our_server-signe
使用OpenSSL工具验证证书
Htojk的博客
03-28 1972
验证证书文件的原理是基于公钥加密技术。证书中包含公钥,私钥由证书所有者保留。当客户端与服务器建立安全连接时,服务器会将证书发送给客户端,客户端使用包含在证书中的公钥来验证服务器身份,并加密通信数据。如果证书有效且签名有效,则客户端可以相信服务器的身份,建立安全通信。:SSL 证书通常包含公钥、证书所有者的信息、证书颁发机构(Certificate Authority, CA)的签名以及证书的有效期等信息。以上命令将检查证书的签名链是否可以追溯到根证书,并给出验证结果。
[openSSL]TLS 1.3握手分析
最新发布
TangYuanTuoHai的博客
08-13 607
关于TLS握手网上资料很多,但是有一些写的很不清楚,导致学习时对概念和流程出现混淆,以下是我觉得写得比较清晰和准确的供学习参考。浅析 TLS(ECDHE)协议的握手流程(图解)图解ECDHE密钥交换算法TLS原理与实践(三)tls1.3以访问百度为例的TLS1.3握手详解接下来针对ECDHE密钥交换、单向身份认证、双向身份认证来进行分析。注意这3个只是完整TLS握手流程中的一部分。
openssl 证书请求和自签名命令req详解
weixin_30783629的博客
04-20 557
1、密钥、证书请求、证书概要说明 在证书申请签发过程中,客户端涉及到密钥、证书请求、证书这几个概念,初学者可能会搞不清楚三者的关系,网上有的根据后缀名来区分三者,更让人一头雾水。我们以申请证书的流程说明三者的关系。客户端(相对于CA)在申请证书的时候,大体上有三个步骤: 第一步:生成客户端的密钥,即客户端的公私钥对,且要保证私钥只有客户端自己拥有。 第二步:以客户端的密钥和客户端自身...
openssl握手过程
02-25
在此阶段,服务器向客户端发送自己的数字证书,以便客户端验证服务器的身份。如果服务器需要客户端的身份认证,则客户端也需要发送相应的证书。 #### 4. 服务器Key Exchange 对于某些加密套件,服务器还需要发送...
openssl实现服务器和客户端
01-21
例如,你可以使用这些API创建服务器和客户端的连接,处理证书验证,以及进行数据的加密解密。在C/C++编程中,`SSL_CTX`对象用于管理和控制SSL会话,`SSL`对象则代表一个特定的连接。开发者需要处理握手过程,读写...
使用Java进行双向认证的SSL链接及使用OpenSSL生产证书链附源程序(转).doc
11-16
本文将介绍使用 Java 进行双向认证的 SSL 链接的实现方法,以及使用 OpenSSL 生产证书链的过程。双向认证是指在客户机连接服务器时,链接双方都要对彼此的数字证书进行验证,保证这是经过授权的才能够连接。 一、...
openssl握手
03-15
openssl握手过程
OpenSSL证书认证过程
Jonas0828的博客
03-16 3051
OpenSSL证书认证过程 游戏服务端这块,之前是很少用SSL的,毕竟游戏里的数据没有什么保密的必要,登录、充值也是传输签名,不涉及密码什么的。不过这几年,HTTPS普及得比较快,H5游戏发展迅速。H5游戏是基于web的,和后端通信一般走websocket,加不加SSL其实对于游戏影响不大。但是不少平台都要求加SSL的,一是用户通过浏览器玩游戏时,地址栏里有个锁头体验还是好点,二是丧心病狂的黑产会劫持链接加上广告,想象一下在玩游戏时,右下角弹个广告是啥体验。 虽说用上SSL,不过并不一定就要自己实现SSL
php verify,php 使用openssl_verify验证签名实例程序
weixin_35457696的博客
03-11 479
/*** 验证签名* TobeVerified 待验证签名的密文* PlainText 待验证签名的明文* CertFile 签名者公钥证书* return 验证成功返回true,失败返回false(从LastErrMsg属性获取失败原因)*/function VerifyMsg($TobeVerified, $PlainText, $CertFile,$signature_alg=OPENSSL...
openssl_sign和openssl_verify实现支付接口
oumaharuki的博客
07-16 9099
1.首先要了解,银行和那些网络钱包接口的原理首先你会有一个公钥和私钥,私钥给了银行用来解密你发的信息。开始你用你的公钥加密订单信息,发送给银行,银行用私钥解密,如果证明是你发的信息,就用你的公钥加密返回信息传给你,你再用私钥解密。RSA/DSA/SHA/MD5  非对称加密的算法有很多,比较著名的有RSA/DSA ,不同的是RSA可以用于加/解密,也可以用于签名验签,DSA则只能用于签名.至于SH...
openssl以及证书详解
qq_41768644的博客
07-16 2789
【代码】openssl以及证书详解。
使用证书对数据进行签名、验签、加密、解密以及openssl的常用方法
junerun的博客
03-19 3684
首先要使用openssl提供的函数,PHP需要此扩展: 编译时加上此配置即可:–with-openssl=/path/to/ssl 首先看看如何对数据进行签名: 这里我们学习到了三个openssl的方法: openssl_pkey_get_private ( mixed $key [, string $passphrase = “” ] ) 此方法用于加载私钥。 $key接受的参数可以是私钥文件...
php openssl_verify,PHP中使用OpenSSLopenssl_verify验证签名案例
weixin_29053577的博客
03-17 809
//demo$json = '{"sign":"myYCvJqsDJUNX67qJnklrVY025oSQmm4D4bIVdHZQzihV+G8G848MmAAatAxCDuCmJbenI0jRZk7p22HjFT0nRykEeSmTExiT+Jx7\/2GQn5grEA3qd7i9gCPz\/E7+n9mleukLuJoXeceVp626c4gLZTKiPPcmbsJIfwfNexCBZXb2B...
Tomcat5.5.x配置整理
热门推荐
!Java
03-16 1万+
1.下载:http://www.eu.apache.org/dist/jakarta/tomcat-5/http://www.apache.org/dist/jakarta/tomcat-5/v5.5.x/bin/jakarta-tomcat-5.5.x-admin.ziphttp://www.apache.org/dist/jakarta/tomcat-5/v5.5.x/bin/jakarta-
OPENSSL s_client 实例测试- SSL连接单向验证
wk59121的专栏
11-06 8197
近日在开发项目时使用到wifi,3/4G通讯。 由于行业问题,当连接服务器时需要对服务器,客户端做双向认证。 在行业内,设备需要进行PCI认证,所有的通讯必须进行加密,连接服务器必须支持双向认证,以保证连接的服务器是安全的,保证客户端设备是授权的。 测试准备 操作工具OPENSSL 可自行下载安装。 客户端证书,以及客户端私钥。 测试过程 以下过程我们以: www.baidu.com 为服务器,测试客户端。 openssl版本信息 C:\Users\Risten&gt...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值