openssl 代码分析--- SSL_connect .

最新推荐文章于 2024-07-28 21:20:36 发布
转载 最新推荐文章于 2024-07-28 21:20:36 发布 · 1.4k 阅读 · 0
文章标签:

#openssl #socket #ssl #switch #结构

SSL_connect函数会负责完成ssl handshake过程,那么我们来看看他是怎么实现的。

SSL_connect函数本身的code非常简单,只有短短几行,但是最后通过函数指针调用来实现它的功能。这个函数指针是s->method->ssl_connect,此处method即为之前介绍的初始化到SSL_Ctx中的method。我们就看看常用的SSLv3的method, SSLv3_client_method。在SSLv3_client_method里面,首先会将method初始化为一个base的ssl v3 method,里面定义了一组ssl v3会用到的函数指针,然后将ssl_connect定义为ssl3_connect。 所以之前SSL_connect最终要调用的函数指针即为ssl3_connect。

然后我们进入ssl3_connect中看看到底是如何实现。

这个函数很长,但是基本结构也很清晰,首先是一些基本的初始化操作,然后就是一个for循环,且没有循环变量,也就是这个循环自己不会结束,需要通过循环体内达到某种状态自己结束,我想肯定是ssl handshake成功或是失败之后就会跳出这个循环的。

在这个for循环中,核心的又是一个大大的switch语句,根据当前ssl的state进入不同的处理逻辑,那么这显然就是ssl client的handshake 状态处理机了。

下面就是ssl client的状态机,可以对照之前的ssl handshake图。

SSL Client

linux git clone出现OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to huggingface.co:443解决方案
weixin_43178406的博客
06-03 9万+
本文主要介绍了在Linux环境下对huggingface网站进行git clone时出现了OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to huggingface.co:443的解决方案,希望能对使用huggingface的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案 2. 解决方案 2.1 解决方案一 2.2 解决方案二
OpenSSLSSL_connect函数分析
u012023606的博客
09-11 1万+
本系列OpenSSL使用的代码版本为:1.0.2o。 前言 本篇文章纯属个人学习的一点经验分享,若有不对之处烦请各位大神现身指点,希望能和大家一起共同进步。 一、SSL_connect是什么? SSL_connect函数是ssl客户端发起ssl连接的一个函数,函数原型:int SSL_connect(SSL *ssl)。这个函数的调用实现了ssl密钥协商的所有流程,从client_hello开始到最后的密钥协商结束。 二、代码分析 首先我们来看看SSL_connect的实现: int SSL
openssl 代码分析(6) SSL_connect
hudaiqian的专栏
03-27 1万+
SSL_connect函数会负责完成ssl handshake过程,那么我们来看看他是怎么实现的。 SSL_connect函数本身的code非常简单,只有短短几行,但是最后通过函数指针调用来实现它的功能。这个函数指针是s->method->ssl_connect,此处method即为之前介绍的初始化到SSL_Ctx中的method。我们就看看常用的SSLv3的method, SSLv3_client_method。在SSLv3_client_method里面,首先会将method初始化为一个base的ss
OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to github.com:443解决方案
m0_48521482的博客
05-17 7237
而使用ssh -T git@github.com命令得到如下的反馈。(1)通过git-keygen -t rsa命令生成的。提示:这里并非普通的http格式添加远程仓库。(3)若为以上格式,可通过以下命令修改。修改后可尝试重新提交代码。在命令行输入如下命令。
OpenSSL SSL_connect: Connection was reset in connection to github.com:443
m0_73367097的博客
07-28 2176
OpenSSL SSL_connect: Connection was reset in connection to github.com:443
【已解决】OpenSSL SSL_connect: Connection was reset in connection to github.com:443
热门推荐
雷恩Layne
03-01 14万+
Github报错OpenSSL SSL_connect: Connection was reset in connection to github.com:443终极解决方案 今天在使用git命令进行push和pull时,出现如下报错: fatal: unable to access 'https://github.com/wxler/test.git/': OpenSSL SSL_connect: Connection was reset in connection to github.com:443
openssl-OpenSSL_1_1_1-stable.zip
03-23
例如,`SSL_CTX_new()`函数创建一个新的SSL上下文,`SSL_connect()`或`SSL_accept()`用于建立客户端和服务器的连接,而`SSL_CTX_use_PrivateKey_file()`和`SSL_CTX_use_certificate_file()`则用于加载私钥和证书。...
OpenSSL-include-and-Lib.rar_openssl_openssl lib_openssl lib
09-23
当开发环境中正确设置了OpenSSL后,就可以在源代码中通过`#include`指令引入所需的头文件,例如`<openssl/ssl.h>`和`<openssl/rsa.h>`,这些头文件提供了SSL/TLS连接、RSA加密算法等核心功能的接口。 例如,如果你...
OpenSSL-s-client 和 s-server
09-04
通过深入学习和实践OpenSSL的s_client和s_server,以及使用网络封包分析工具分析抓包数据,我们可以更好地理解和掌握SSL/TLS协议的工作原理,提升网络安全方面的技能。在实际工作中,这些技能对于保障网络服务的安全...
openssl-include.rar_C常用头文件_openssl_ssl_visual c
09-20
在IT行业中,加密和安全通信是至关重要的环节,OpenSSL库正是这样一个强大的工具,它提供了丰富的功能,包括SSL/TLS协议实现以及各种加密算法。在这个名为"openssl-include.rar"的压缩包中,包含了C语言编程时使用...
【项目问题解决】OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to git.xxxx.com:443
qq_43238568的博客
11-06 7159
Git报错:OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to。
OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to github.com:443
皮皮虾的博客
06-15 562
git push的时候遇到的这个问题,尝试使用网上类似 git config --global --unset http.proxy git config --global --unset https.proxy
git 报错 OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to github.com:443
学习前端这门手艺,栈底到栈顶依次是:浏览器架构、Web 网络、事件循环机制、JavaScript 核心、V8 的内存管理、浏览器的渲染流程、Web 安全、CSS、React、Vue、Node、构建工具链等
03-11 1万+
问题 提交代码到github,老是报错,切换了好多 wifi 也还是不行 解决方式 亲自尝试了,可行。 git config --global --add remote.origin.proxy ""
Openssl SSL_connect()报错定位
zhe184323的博客
03-05 4724
背景: 在Openharmony设备上通过openssl和云端通信,SSL_connect报错,返回值-1. 定位: 1、排除header参数问题,把所有参数值打印出来。 2、执行SSL_get_error,打印SSL报错信息,列出所有可能 打印出SSL_ERROR_SSL,上网搜了下,可能是server、client端没定义,尝试在ssl_connect前插入ssl_set_connect_state,标识是客户端,没起作用。也可能是CA证书校验相关问题。 3、尝试调用ERR_ge
ftp_ssl_connect() 函数
冷月醉雪的博客
03-21 945
查看更多 https://www.yuque.com/docs/share/71174ab5-5f9e-48cb-9bde-d3a07f24361e
./configure: error: invalid option "--without-http_ssl_module"
最新发布
11-22
你遇到的错误: ``` ./configure: error: invalid option "--without-http_ssl_module" ``` 说明你在 Nginx 源码中使用了 **不被支持或已被废弃的 `--without-http_ssl_module` 选项**。 --- ## 🔍 根本原因 Nginx 的模块系统从 **1.11.x 版本开始进行了重构**,许多原本可以通过 `--without-http_xxx_module` 禁用的模块(尤其是核心模块)变成了 **内置不可关闭**,或者需要通过其他方式控制。 特别是: > ❌ `--without-http_ssl_module` 是一个 **无效且不存在的标准选项** 因为: - HTTPS/SSL 功能是由多个组件组成的(如 `ngx_http_ssl_module`),但它不是一个独立可开关的 HTTP 模块。 - 实际上,SSL 支持依赖于外部库(OpenSSL、BoringSSL 等),而不是简单的模块开关。 - 要禁用 SSL,正确的方法是 **不要链接 OpenSSL 库**,而不是传入 `--without-http_ssl_module`。 --- ## ✅ 正确禁用 SSL 支持的方法 要让 Nginx **不支持 HTTPS 和 SSL/TLS**,你应该: ### ✔️ 方法一:不引入 OpenSSL(推荐) 只要你不指定 `--with-http_ssl_module`,并且确保没有安装 PCRE/OpenSSL 开发包,Nginx 就不会启用 SSL。 但如果你想 **明确禁止** 它被启用,可以这样做: ```bash ./configure \ --prefix=/opt/nginx \ --with-cc=aarch64-linux-gnu-gcc \ --without-pcre \ --without-http_rewrite_module \ --without-http_gzip_module \ ... ``` ✅ 不要加任何与 SSL 相关的 `--with-http_ssl_module`,这样默认就不会包含 SSL 支持。 如果你之前手动添加了 `--with-http_ssl_module`,请删除它。 --- ### 🛠️ 验证是否真的没启用 SSL 编译完成后检查: ```bash grep -r "NGX_HTTP_SSL" objs/autoconf.h ``` 如果输出为空,说明没有启用 SSL 支持。 也可以查看生成的二进制是否有 SSL 符号: ```bash aarch64-linux-gnu-readelf -s objs/nginx | grep SSL ``` 如果没有或只有少量无关符号,说明成功去除了 SSL--- ## ⚠️ 常见误解:哪些 `--without-http_xxx_module` 是无效的? | 错误写法 | 是否有效 | 正确做法 | |--------|--------|--------| | `--without-http_ssl_module` | ❌ 不存在 | 不使用 `--with-http_ssl_module` 即可 | | `--without-http_rewrite_module` | ✅ 存在(但依赖 PCRE) | 同时禁用 PCRE 更彻底 | | `--without-http_gzip_module` | ✅ 存在(依赖 zlib) | 不链接 zlib 并关闭模块 | | `--without-http_proxy_module` | ✅ 存在 | 可安全关闭 | | `--without-mail_smtp_module` | ✅ 存在 | 需配合 `--without-mail` | 📌 所以你不能“禁用”一个从未“开启”的功能。SSL 模块默认是关闭的,除非你主动开启它。 --- ## ✅ 推荐配置(完全无 SSL / 无 PCRE / 极简版) ```bash CC=aarch64-linux-gnu-gcc \ CXX=aarch64-linux-gnu-g++ \ AR=aarch64-linux-gnu-ar \ RANLIB=aarch64-linux-gnu-ranlib \ ./configure \ --prefix=/opt/nginx \ --with-cc=aarch64-linux-gnu-gcc \ --with-cpp=aarch64-linux-gnu-cpp \ --with-ld-opt="-static" \ --without-pcre \ --without-http_rewrite_module \ --without-http_gzip_module \ --without-http_proxy_module \ --without-http_fastcgi_module \ --without-http_uwsgi_module \ --without-http_scgi_module \ --without-http_memcached_module \ --without-http_empty_gif_module \ --without-http_browser_module \ --without-http_geo_module \ --without-http_map_module \ --without-http_split_clients_module \ --without-http_referer_module \ --without-http_limit_conn_module \ --without-http_limit_req_module \ --without-http_auth_basic_module \ --without-http_access_module \ --without-http_realip_module \ --without-http_addition_module \ --without-http_degradation_module \ --without-http_flv_module \ --without-http_mp4_module \ --without-http_sub_module \ --without-http_slice_module \ --without-mail \ --without-http_upstream_ip_hash_module \ --without-http_upstream_least_conn_module \ --without-http_upstream_keepalive_module \ --without-http_upstream_zone_module \ --without-threads \ --without-select_module \ --without-poll_module \ --without-kqueue_module \ --without-eventport_module \ --without-file_aio \ --without-http_dav_module \ --without-http_ssi_module \ --crossbuild=Linux::x86_64::unknown ``` > ✅ 这个配置天然就不包含 SSL 支持,无需额外 `--without-http_ssl_module` --- ## 💡 如何确认你的 Nginx 是否真的不含 SSL? 运行以下命令: ```bash strings objs/nginx | grep -i ssl ``` 如果输出很少或只有类似 `"SSL"` 字符串(可能是日志提示文字),而没有函数名如 `SSL_accept`、`SSL_connect`,说明未链接 OpenSSL。 进一步验证: ```bash aarch64-linux-gnu-readelf -d objs/nginx | grep ssl ``` 不应出现对 `libssl.so` 或 `libcrypto.so` 的依赖。 --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值