ESP-AT SSL 单向认证指令操作以及问题分析

最新推荐文章于 2023-04-10 23:02:52 发布
最新推荐文章于 2023-04-10 23:02:52 发布
阅读量1.6k 收藏 4
点赞数 1
分类专栏: AT 应用 (AT Application)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Marchtwentytwo/article/details/117754632
版权

本篇文章主要是介绍客户端认证服务器的 AT 指令操作以及问题分析。

1 SSL 认证涉及到的指令介绍

1.1 AT+SYSFLASH 查询或读写 flash 用户分区

通过查询 ESP-AT 指南,如下:

在这里插入图片描述

  • 查询指令 AT+SYSFLASH?
  • 读写指令 AT+SYSFLASH=<operation>,<partition>,<offset>,<length>

1.2 AT+CIPSSLCCONF 查询/设置 SSL 客户端配置

通过查询 ESP-AT 指南,如下:

  • 查询指令 AT+CIPSSLCCONF?
  • 单连接读写指令 AT+CIPSSLCCONF=<auth_mode>[,<pki_number>][,<ca_number>]
  • 多连接读写指令 AT+CIPSSLCCONF=<linkID>,<auth_mode>[,<pki_number>][,<ca_number>]

在这里插入图片描述

2 客户端认证服务器 AT 指令操作步骤

2.1 生成证书 bin

在这里插入图片描述
在这里插入图片描述

具体操作可以参考 generate-pki-bin

2.2 将 CA 证书更新到 flash

指令如下:

AT+SYSFLASH=0,"client_ca",0,4096  
AT+SYSFLASH=1,"client_ca",0,1424

操作步骤参考下图,加载完证书之后,点击发送文件返回 OK ,就表示更新证书成功了。
在这里插入图片描述
在这里插入图片描述

补充说明:
1. client_ca 是自己做客户端 (AT+CIPSTART=…) 用的,用来校验服务器传过来的证书。
2. server_ca 是自己做服务器 (AT+CIPSERVER=1) 用的,用来校验连接到服务器上的客户端,传过来的证书。
3. 擦除分区的时候需要保持 4 字节对齐,写分区输入实际的大小即可,例如上面证书中 at_ca.bin 是 1.4 KB, 算下来是 1433.6 byte。

2.3 SSL 认证操作

对应操作 log 如下:

AT+CWMODE=1
OK
AT+CWJAP="iot",""
WIFI DISCONNECT
WIFI CONNECTED
WIFI GOT IP
OK
AT+CIPSNTPCFG=1,8,"cn.ntp.org.cn","ntp.sjtu.edu.cn"

OK
AT+CIPSSLCCONF=2,0,0

OK
AT+CIPSTART="SSL","192.168.3.129",8739
CONNECT

OK
CLOSED

3 常见问题以及排查方向

3.1 本地搭建的 ssl server 服务器,测试单向认证(服务器端)发现连接失败

本地服务器的配置如下:
在这里插入图片描述

UART1 端 AT 测试指令 & log 如下:

AT+CWMODE=1
OK
AT+CWJAP="iot",""
WIFI CONNECTED
WIFI GOT IP
OK
AT+CIPSSLCCONF=2,0,0  //配置单向连接
OK
AT+CIPSTART="SSL","192.168.3.129",8739
ERROR

UART0 端 log 如下:

max tx power=78,ret=0
BLUFI BLE is not connected yet
ca_len=1164
set ca ok
[0;31mE (165183) esp-tls: mbedtls_ssl_handshake returned -0x2700[0m
[0;31mE (165184) esp-tls: Failed to open new connection[0m
ssl failed
ssl create 0 socket fail

从 log 信息中可以看到 -0x2700 表示服务器端的证书验证失败了。此时的排查方向为:

  1. 先确认服务器和证书是没有问题的,从服务器端获取到 CA 证书,通过 openssl 指令验证。指令为 openssl s_client -host 192.168.3.129 -port 8739 -CAfile at_server_ca/rsa-ca.crt -verify 1
    在这里插入图片描述
    在这里插入图片描述

  2. 确认服务器没有问题后,查看操作步骤是否正确。从 log 信息中,我们可以看到并未生成新的证书 bin ,也并未加载新的证书 bin。将 CA 证书更新到 Flash 中, 指令如下:

    • AT+SYSFLASH=0,"client_ca",0,4096
    • AT+SYSFLASH=1,"client_ca",0,1424

  3. 还需要注意在认证之前加上 AT+CIPSNTPCFG=1,8,"cn.ntp.org.cn","ntp.sjtu.edu.cn" 这条指令,因为SSL 认证连接需要校验服务器端的证书,所以需要连接 sntp 来获取当前时间,用来判断证书是否过期

  4. 如果以上步骤均正确, ssl 连接依然失败,就需要通过抓包进一步查看了。可参考 Wireshark 抓包指南

25March
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ESP32-C3入门教程 问题篇⑯——esp-tls-mbedtls: mbedtls_ssl_handshake returned -0x2700 | esp-tls: Failed to open
小康师兄
10-24 1654
ESP32-C3入门教程 问题篇⑯——esp-tls-mbedtls: mbedtls_ssl_handshake returned -0x2700 | esp-tls: Failed to open
ESP8266-AT指令集V2.1.0
10-21
ESP8266_AT指令集V2.1.0,ESP8266 AT固件指令
esp https连接出现 -0x2700 或者X509_verify_cert() returned -9984 (-0x2700)
qq_38401104的博客
11-28 3075
错误原因: 在服务器生成证书时候,会要求你填一个CN字段。esp例程中会通过你的URL获取你的IP或者域名,保存在变量use_host中。如果程序检测到获得的IP或者域名与你的证书CN字段不匹配,就会出现这种错误。 解决方法: 在服务器生成证书的时候,如果你用域名访问,就把CN字段填为域名。如果你用IP访问,就填IP。 或者通过 int mbedtls_ssl_set_hostname( mbed...
mbedtls 自带SSL demo调试
无限之生
11-16 2749
运行mbedtls自带 ssl demo的记录;
esp32固件,启用 ESP-AT 经典蓝牙
01-19
+CMD:138,"AT+BLUFINAME",0,1,1,0 +CMD:139,"AT+BLUFI",0,1,1,0 +CMD:140,"AT+BTINIT",0,1,1,0 +CMD:141,"AT+BTNAME",0,1,1,0 +CMD:142,"AT+BTSCANMODE",0,1,1,0 +CMD:143,"AT+BTSTARTDISC",0,0,1,0 +CMD:144,"AT+BTPINREPLY",0,0,1,0 +CMD:145,"AT+BTENCDEV",0,1,0,0 +CMD:146,"AT+BTENCCLEAR",0,0,1,1 +CMD:147,"AT+BTCOD",0,0,1,0 +CMD:148,"AT+BTPOWER",0,1,1,0 +CMD:149,"AT+BTSPPINIT",0,1,1,0 +CMD:150,"AT+BTSPPCONN",0,1,1,0 +CMD:151,"AT+BTSPPSTART",0,0,0,1 +CMD:152,"AT+BTSPPDISCONN",0,0,1,0 +CMD:153,"AT+BTSPPSEND",0,0,
ESP32 OTA升级之https ota详解
爱出名的狗腿子
04-10 3269
本文以 ESP32 官方例程native_ota_example为例,详细阐述如何采用https实现esp32的ota升级。第一章节,为本文的前言部分,对文章内容进行大体概述;第二章节,主要描述了如何在本地将demo例程跑起来,并附带了关于使用demo例程中遇到的相关报错的具体解决措施;第三章节,主要描述了ESP32的 flash 扇区布局;第四章节,主要描述了OTA下载的镜像文件的头部数据结构,并对其进行详细分析,镜像文件的头部与OTA息息相关;第五、六章节详细描述了OTA升级过程中应用程序的状态切换逻辑
ID2中的mbedtls_ssl_handshake返回错误
码农17年的博客
09-23 5714
在使用ID2 因特网设备的身份识别认证时,总是返回错误,如0x7780或者0x7280等,是怎么回事呢? [10:16:34.554]收←◆I (2044) wifi: n:11 0, o:1 0, ap:255 255, sta:11 0, prof:1 [10:16:35.396]收←◆I (2888) wifi: state: init -> auth (b0) [10:16:35.430]收←◆I (2922) wifi: state: auth -> assoc (0) [1
运行mbedtls自带Demo ssl_client的记录
无限之生
11-16 1696
运行mbedtls自带 ssl demo的记录;
ESP32-C3入门教程——导读
热门推荐
小康师兄
09-13 4万+
一、环境篇 ESP32-C3入门教程 环境篇①——简单介绍与软硬件准备 ESP32-C3入门教程 环境篇②——Windows开发环境准备 ESP32-C3入门教程 环境篇③——VS Code IDE快速入门 二、基础篇 ESP32-C3入门教程 基础篇①——GPIO口控制 ESP32-C3入门教程 基础篇②——PWM控制 ESP32-C3入门教程 基础篇③——ADC输入 ESP32-C3入门教程 基础篇④——串口通信 ESP32-C3入门教程 基础篇⑤——SPI通信 ESP32-C3入门教程 基础篇⑥——I
signature=70e902f89f03293bdcc59e78538792ab,0x2700 - X509 - Certificate verification failed, e.g. CRL...
weixin_28738021的博客
05-29 696
@Carmeloning证书验证失败可能由于多种原因而发生。例如,您尚未设置正确的受信任根证书。证书验证失败时返回错误-0x2700 MBEDTLS_ERR_X509_CERT_VERIFY_FAILED并返回。您还应该检查验证标志。I used the server to give me the root certificate in the browser test and the serve...
ESP8266 at-firmware AT 指令源码
03-04
ESP8266 at-firmware AT 指令源码
ESP8266-STM32-AT指令配置.zip
09-02
使用STM32F103系列单片机的串口对esp8266进行AT指令配置,配置模式包括STA模式和AP模式的配置,可以实现TCP通信和UDP通信,包含详细代码及注释,并在主程序里实现WiFi模块在STA模式下发送数据的例子
ESP8266AT固件库+AT指令
09-28
内含AT的固件库和AT指令集的文档,便于采用AT指令ESP8266进行操作,包括ESP-07S,ESP-01S,ESP-08S和ESP-12S
使用 ESP32 通过 AT 命令与 手机蓝牙进行配对连接
ESP 技术分享,推动万物互联
09-03 7465
1. 编译 ESP-AT ,在 menuconfig 配置选项中开启 BT SPP 命令的支持,如下: menuconfig -> Component config -> AT 2. AT 固件编译完成后,准备 1 个 ESP32 设备下载 AT 固件。 3. 使用手机与 ESP32 进行蓝牙配对,在 ESP32 设备端请运行如下命令: AT+BTINIT=1 //开启经典蓝牙服务 AT+BTNAME="123" // 将设备设为 BT SPP Slave A
ESP-AT 实践:ESP32 启 AP 模式并作为 TCP Client 与 TCP Server 进行数据透传
ESP 技术分享,推动万物互联
11-15 4485
需求: ESP32 启 AP 模式 其他设备连接 ESP32 的 AP ESP32 连接 TCP Server ESP32 作为 TCP Client 端与 TCP Server 进行数据透传 测试指令: AT+RESTORE AT+CWMODE =2 // Set ESP32 to AP mode AT+CWSAP ="ESP32","12345678",1,3 //Set the configuration of an ESP32 SoftAP AT+CIP
ESP32 使用 ESP-AT 开启 BLE 透传流程
ESP 技术分享,推动万物互联
05-31 2338
请用最新版本的 AT 固件来测试,参见最新版本的 AT 指令集说明 。 测试条件:手机 APP -> nRF Connect 测试的 AT 指令如下: AT_RESTORE //将设备恢复出厂设置 AT+BLEINIT=2 //将 esp32 设置成蓝牙服务端 AT+BLEADDR? //查询设备的 MAC 地址 AT+BLEGATTSSRVCRE //GATTS 创建服务 AT+BLEGATTS..
ESP-AT 实践:ESP32 使用 AT 固件,如何修改 BLE 服务特征的 UUID 为 128 bit
ESP 技术分享,推动万物互联
01-04 1803
ESP32 使用 AT 固件,如何修改 BLE 服务特征的 UUID ? ESP32 的 AT 固件默认的 BLE 服务特征都是 16 bit 的 UUID ,没有 128 bit 的 服务特征的 UUID ,若需要 128 bit 的 UUID 可自行修改 BLE 服务的源文件:esp-at/components/customized_partitions/raw_data/ble_data/example.csv ,然后可通过 AT+BLEGATTSCHAR? 命令来查询服务特征的 UUID 。 测
ESP-AT 实践:如何使用两个 ESP32 设备,通过 AT 指令进行 BT SPP 通信?
ESP 技术分享,推动万物互联
08-09 1711
1、编译 ESP-AT ,在 menuconfig 配置选项中开启 BT SPP 命令的支持,如下: menuconfig -> Component config -> AT 2、AT 固件编译完成后,准备两个 ESP32 设备分别下载相同的固件。 3、其中一个设备作为 BT SPP Slave 从机,执行如下命令: AT+BTINIT=1 //开启经典蓝牙服务 AT+BTSPPINIT=2 // 将设备设为 BT SPP Slave AT+BTNAME=
esp-at实现gatt通信
最新发布
09-07
ESP-AT中,您可以使用AT指令来执行以下操作: 1. 设置蓝牙模式:使用AT+BTMODE指令ESP32设置为蓝牙从设备模式。 2. 扫描设备:使用AT+BTPSCAN指令扫描附近的蓝牙设备,以查找要连接的目标设备。 3. 连接设备...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值