织梦CMS - 轻松建站从此开始!
高级搜索|网站地图|TAG标签RSS订阅[设为首页] [加入收藏]

罗索

搜索

热门标签:

当前位置: 主页>基础技术>高性能服务器>

SSL双方系统时间不一致导致的SSL连接失败及其解决方案

jackyhwei 发布于 2016-07-18 16:48 点击:次 
通过用wireshake抓包分析SSL建立连接的过程,发现在SSL握手过程中,会向对方传送本机的系统时间.因此一个显而易见的办法就是获取对方的时间,然后在必要时将本机的系统时间改为对方的系统时间,失败后再连一次.
TAG: OpenSSL  

 在 产品使用中,实施人员常常报告服务器与客户端无法连接.究其原因是因为客户端机器与服务端机器系统时间不一致.原因在于系统使用了OpenSSL,证书中 有一个有效时间段,当客户端或服务器的系统时间不在这个时间段内时SSL会因证书验证失败而无法连接.在实施中系统时间错误是很常见的,因不能上网而未开 时间自动同步,bios没电了,客户疏忽等原因都会导致系统时间设置有误.如果连接失败后再查看系统时间设置总是一项麻烦的事情,那么有哪些办法可以自动 避免这个问题呢?
一,将证书的有效期设得够大:如:1970-2099
这样估计可以在一定程度上解决这个问题,不过这也是个馊主意.
二,检测及必要时自动同步客户端与服务器的时间

通过用wireshake抓包分析SSL建立连接的过程,发现在SSL握手过程中,会向对方传送本机的系统时间.因此一个显而易见的办法就是获取对方的时间,然后在必要时将本机的系统时间改为对方的系统时间,失败后再连一次.下面是具体的示例代码:

  1. #include <openssl/ssl.h> 
  2. #include <openssl/bio.h> 
  3. #include <openssl/err.h> 
  4. #include <winsock2.h> 
  5. #include <stdio.h> 
  6. #include <string.h> 
  7. #include <time.h> 
  8.  
  9. typedef struct _TimeInfo 
  11.     time_t client;  /*客户端的时间*/ 
  12.     time_t server;  /*服务器的时间*/ 
  13. } TimeInfo; 
  14.  
  15. /** 
  16. * 同步系统时间. 
  17. */ 
  18. BOOL syncSystemTime(time_t t) 
  20.     SYSTEMTIME st; 
  21.     FILETIME   ft;   
  22.     LONGLONG   ll;   
  23.      
  24.     ll = Int32x32To64(t, 10000000) + 116444736000000000; //1970.01.01   
  25.      
  26.     ft.dwLowDateTime  = (DWORD)ll;   
  27.     ft.dwHighDateTime = (DWORD)(ll >> 32);   
  28.      
  29.     return FileTimeToSystemTime(&ft, &st) && SetSystemTime(&st); 
  31.  
  32. /** 
  33. * 获取SSL握手过程中服务器与客户端双方的系统时间. 
  34. */ 
  35. void getSSLHandleShakeTimeInfo(int write_p, 
  36.                                int version, 
  37.                                int content_type, 
  38.                                const unsigned char* buf, 
  39.                                size_t len, 
  40.                                SSL *ssl, 
  41.                                TimeInfo *ti) 
  43.     if(content_type != 22)   //require handshake message 
  44.         return
  45.     if(len < 42) 
  46.         return
  47.     if(buf[0] == 1)          //ClientHello Message send from client to server 
  48.         ti->client = htonl(*((u_long*)(buf + 6))); 
  49.     else if(buf[0] == 2)     //ServerHello Message send from server to client 
  50.         ti->server = htonl(*((u_long*)(buf + 6))); 
  51.     else 
  52.         return
  54.  
  55. int main() 
  57.     BIO * bio; 
  58.     SSL * ssl; 
  59.     SSL_CTX * ctx; 
  60.     TimeInfo timeInfo = {-1, -1}; 
  61.     BOOL timeSynced = FALSE; 
  62.     long result; 
  63.  
  64.     /* Set up the library */ 
  65.     SSL_library_init(); 
  66.     ERR_load_BIO_strings(); 
  67.     SSL_load_error_strings(); 
  68.  
  69.     /* Set up the SSL context */ 
  70.     ctx = SSL_CTX_new(SSLv3_client_method()); 
  71.     if(ctx == NULL) 
  72.     { 
  73.         fprintf(stderr, "Error new SSL_CTX\n"); 
  74.         ERR_print_errors_fp(stderr); 
  75.         SSL_CTX_free(ctx); 
  76.         return 0; 
  77.     } 
  78.  
  79.     /* Get Server and Client system time via SSL Handshake */ 
  80.     SSL_CTX_set_msg_callback(ctx, getSSLHandleShakeTimeInfo); 
  81.     SSL_CTX_set_msg_callback_arg(ctx, &timeInfo); 
  82.      
  83.     /* Load the trust store */ 
  84.     if(! SSL_CTX_load_verify_locations(ctx, ".\\certs\\cacert.pem", NULL)) 
  85.     { 
  86.         fprintf(stderr, "Error loading trust store\n"); 
  87.         ERR_print_errors_fp(stderr); 
  88.         SSL_CTX_free(ctx); 
  89.         return 0; 
  90.     } 
  91.  
  92.     /* Setup the connection */ 
  93.     bio = BIO_new_ssl_connect(ctx); 
  94.  
  95.     /* Set the SSL_MODE_AUTO_RETRY flag */ 
  96.     BIO_get_ssl(bio, & ssl); 
  97.     SSL_set_mode(ssl, SSL_MODE_AUTO_RETRY); 
  98.  
  99.     /* Create and setup the connection */ 
  100.     BIO_set_conn_hostname(bio, "192.168.1.5:5555"); 
  101.     if(BIO_do_connect(bio) <= 0) 
  102.     { 
  103.         fprintf(stderr, "Error attempting to connect\n"); 
  104.         ERR_print_errors_fp(stderr); 
  105.         BIO_free_all(bio); 
  106.         SSL_CTX_free(ctx); 
  107.         return 0; 
  108.     } 
  109.      
  110.     /* Check the certificate */ 
  111.     switch(SSL_get_verify_result(ssl)) 
  112.     { 
  113.     case X509_V_OK: 
  114.         break
  115.     case X509_V_ERR_CERT_NOT_YET_VALID: 
  116.     case X509_V_ERR_CERT_HAS_EXPIRED: 
  117.         if(timeInfo.server != -1 && timeInfo.client != -1) 
  118.         { 
  119.             printf("当前客户端时间: %s", ctime(&timeInfo.client)); 
  120.             printf("当前服务器时间: %s", ctime(&timeInfo.server)); 
  121.             printf("尝试与服务器时间同步"); 
  122.              
  123.             if(syncSystemTime(timeInfo.server)) 
  124.                 printf("成功\n"); 
  125.             else 
  126.                 printf("失败\n"); 
  127.             printf("请重试连接服务器!\n"); 
  128.         } 
  129.     default
  130. fprintf(stderr, "Certificate verification error: %i\n", SSL_get_verify_result(ssl)); 
  131.         BIO_free_all(bio); 
  132.         SSL_CTX_free(ctx); 
  133.         return 0; 
  134.     } 
  135.  
  136.     /* Close the connection and free the context */ 
  137.     BIO_free_all(bio); 
  138.     SSL_CTX_free(ctx); 
  139.     return 0; 

 

(zqt520)
本站文章除注明转载外,均为本站原创或编译欢迎任何形式的转载,但请务必注明出处,尊重他人劳动,同学习共成长。转载请注明:文章转载自:罗索实验室 [http://www.rosoo.net/a/201607/17458.html]
本文出处:CSDN博客 作者:zqt520 原文
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
相关文章
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
最新评论 进入详细评论页>>
栏目列表
将本文分享到微信
织梦二维码生成器
推荐内容
热点内容