OpenSSL源码之erro定位两种方法

最新推荐文章于 2025-09-11 01:09:17 发布
原创 最新推荐文章于 2025-09-11 01:09:17 发布 · 7.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#error #openssl #源码 #ssl

本文介绍如何利用OpenSSL的错误码及日志记录功能定位具体错误原因。通过两个实例详细解析了错误码的构成及其在源代码中的定位方法。

       聊一聊在实际定位openssl错误过程中的处理思路。

       openssl提供了err模块实现日志记录的功能。很多时候需要根据err的记录结果确认错误的原因,即找到出错的那一行。以如下两条错误的记录来说明错误的定位方法:

1、error:140A1175:SSLroutines:ssl_bytes_to_cipher_list:inappropriate
fallback

       数字部分表示的是错误的记录码,该记录码由三部分组成。一共4个字节,前8位表示的是模块的编号,例如14(十六进制)指的就是编号为20的ssl模块;紧接着的12位表示的是函数的编号,例如0A1表示的就是ssl模块中编号为161的函数 ssl_bytes_to_cipher_list,175表示的是错误的原因,表示编号为373的错误类型SSL_R_INAPPROPRIATE_FALLBACK,对应的字符串输出为inappropriate fallback。当然从后向前看,就是SSL_R_INAPPROPRIATE_FALLBACK类型错误发生在 ssl_bytes_to_cipher_list函数中,该函数属于ssl模块。

       事实上在ssl_bytes_to_cipher_list会发现SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,SSL_R_INAPPROPRIATE_FALLBACK)这样的错误输出,因此可以很容易的定位发生该种错误的原因。当然实际定位问题中都是直接搜索错误原因字符串,找到错误原因码,然后搜索错误原因码那个宏,找到错误的位置。

2,error:14094416:SSLroutines:ssl3_read_bytes:sslv3 alert certificate
unknown

       如上分析,该种错误指的是发生在ssl模块, ssl3_read_bytes函数中的SSL_R_SSLV3_ALERT_CERTIFICATE_UNKNOWN类型错误(SSL_R_SSLV3_ALERT_CERTIFICATE_UNKNOWN是定义为1046即16进制为416的宏,对应错误码的最后12位)
       按照前面的情况推断在函数 ssl3_read_bytes应该有如下的错误记录:

SSLerr(SSL_F_SSL3_READ_BYTES,SSL_R_SSLV3_ALERT_CERTIFICATE_UNKNOWN)

       但是这种情况并没有出现,在该函数中发现了如下的错误输出

SSLerr(SSL_F_SSL3_READ_BYTES, SSL_AD_REASON_OFFSET + alert_descr)

       通过查看源码发现 alert_descr表示提取的Alert Message中的Description部分,通常Alert Message包含错误的Level以及错误Description。也就是说一端读取另一端发送过来的报文数据,解析Alert Message消息发现Description字段为2e(十进制为46),因此记录错误为SSLerr(SSL_F_SSL3_READ_BYTES, SSL_AD_REASON_OFFSET + 46),而 SSL_AD_REASON_OFFSET宏值为1000,因此就形成了错误原因为 SSL_R_SSLV3_ALERT_CERTIFICATE_UNKNOWN(1046)这样一个错误。因此对于情况二错误需要在相应的函数中去寻找,需要了解一定的源码过程。

       这两种情况就是实际在定位错误过程中遇到的。

       本文为优快云村中少年原创文章,转载记得加上小尾巴偶,博主链接这里

openssl源码分析(二)
thinker
11-24 2223
构造Server Hello消息 int tls_construct_server_hello(SSL *s) { unsigned char *buf; unsigned char *p, *d; int i, sl; int al = 0; unsigned long l; /*我们知道数据包包含了头部和数据两个部分,在构造的时候是分别构造的,一般的头部部分构造比较复杂,数据部分通常就是一个拷贝操作。这里的 ssl_handshake_start就是一个区分头部和数据部分的指针。# de
openssl源码分析(一)
thinker
11-24 3144
我们跳过握手的总状态机和读写状态机,因为我认为那是OpenSSL架构方案的一个败笔,逻辑非常的不清晰,是程序员思维,而不是正常的逻辑思维。与握手逻辑比较相关的在statem_clnt.c和statem_srv.c中。分别是客户端的握手逻辑和服务端的握手逻辑。 我们以服务端为重点来分析。 一个简单的函数列表就能看出来其中的大体逻辑。对于服务器来说,是被动的处理消息,响应客户端请求的一方。所以所有的发送都是有接收来触发,接收对应的函数典型的就是tls_process_开头的函数,而发送所对应的函数就是t
本地使用远程服务器的jupyter notebook 以及其他问题记录
Wisley的读书笔记分享
02-27 1658
在网上查找了很多资料,试了很多方法,踩了不少坑,现在记录下最终的可行方案。 主要参考这2篇:https://cloud.tencent.com/developer/article/1488507 https://www.cnblogs.com/qiangzi0221/p/8933722.html 1、生成配置文件,有的服务器是已经生成了配置文...
tornado SSL3_READ_BYTES sslv3
weixin_34336526的博客
12-14 824
//////////// 支付宝回调,遇到问题//////WARNING:tornado.general:SSL Error on 9 ('110.75.248.125', 13675): [Errno 1] _ssl.c:504: error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unkn...
青龙面板中OpenSSL版本导致的SSL/TLS连接问题解析
最新发布
gitblog_01055的博客
09-11 389
你是否在使用青龙面板时遇到过SSL/TLS连接失败的问题?特别是当执行JavaScript或Python脚本时,经常出现"SSL certificate problem"或"unable to verify the first certificate"等错误?本文将深入解析这些问题的根源,并提供详细的解决方案,帮助你彻底解决青龙面板中的SSL/TLS连接难题。 ## 问题背景 青龙面板(Qin...
nginx转发https:SSL_do_handshake() failed
weixin_42612454的博客
12-06 1万+
SSL_do_handshake() failed (SSL: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:SSL alert number 40) while SSL handshaking to upstream
解决PHP报错 SSL routines:ssl3_get_server_certificate:certificate verify failed
____
08-09 9288
Win7 PHP获取HTTPS网站报错PHP Warning 'yii\base\ErrorException' with message 'get_meta_tags(): SSL operati on failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:ssl3_get_server_certificat
SSL错误
weixin_30443075的博客
10-09 423
1.ssl.SSLError: [Errno 1] _ssl.c:504: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure 原因:SSL版本错误解决:PROTOCOL_SSLv3->PROTOCOL_SSLv23 转载于:https://www.cnblogs.com/li-baibo/...
处理HTTPS请求 SSL证书验证
yang_bingo的博客
06-28 4637
现在随处可见 https 开头的网站,urllib2可以为 HTTPS 请求验证SSL证书,就像web浏览器一样,如果网站的SSL证书是经过CA认证的,则能够正常访问,如:https://www.baidu.com/等...如果SSL证书验证不通过,或者操作系统不信任服务器的安全证书,比如浏览器在访问12306网站如:https://www.12306.cn/mormhweb/的时候,会警告用户证...
OpenSSL BIO源码简析
Starr
12-19 1760
OpenSSL BIO源码简析
openssl+RSA开发实例(含源码
N阶二进制的博客
10-28 1511
RSA(Rivest-Shamir-Adleman)是一种非对称加密算法,它是由Ron Rivest、Adi Shamir和Leonard Adleman于1977年共同提出的,是最早的一种用于公开密钥加密和数字签名的算法。RSA算法的安全性基于大数因子分解的难度,即大整数分解问题。
openssl+SM2开发实例一(含源码
N阶二进制的博客
11-11 7403
是中国国家密码管理局(CNCA)颁布的椭圆曲线密码算法标准,属于非对称加密算法。它基于椭圆曲线离散对数问题,提供了安全可靠的数字签名、密钥交换和公钥加密等功能。SM2被设计为适用于各种场景下的密码学应用,包括数字证书、数据加密、数字签名、身份认证等。SM2是一种非对称加密算法,意味着它使用两个密钥:公钥和私钥。公钥用于加密数据和验证签名,而私钥用于解密数据和生成签名。SM2基于椭圆曲线密码学(Elliptic Curve Cryptography,ECC),使用椭圆曲线上的点运算来实现加密和签名操作。
【Yolov5】部署落地的实现踩坑过程
qq:1115926058
03-27 2047
该文给出了在一般部署Yolov5算法过程中可能会遇到的坑,提供了一些解决方法,有利于锻炼完整的项目开发能力
ssl.SSLError: [SSL: SSLV3_ALERT_HANDSHAKE_FAILURE] 错误处理
abcxyz888的专栏
01-26 4550
python升级 [SSL: SSLV3_ALERT_HANDSHAKE_FAILURE] [SSL: CERTIFICATE_VERIFY_FAILED] 错误处理
OPENSSL错误码处理
在线笔记
10-08 4989
SSL_GET_ERROR () 在ssl.h里面看SSL_ERROR_XXX的错误类型 ERR_get_error() 管理员在2009年8月13日编辑了该文章文章。 --> --> window._
Charles Android 抓包失败SSLHandshake: Received fatal alert: certificate_unknown
热门推荐
MrgcXia的博客
07-18 5万+
前提:Android使用Charles抓取Https请求的报文时,Android和Charles都正确安装了证书之后出现抓包失败,报错SSLHandshake: Received fatal alert: certificate_unknown,如下图所示:原因:安卓7之后调整了安全策略会导致部分手机抓包失败,请参考此链接:https://android-developers.googleblog.
mosquitto日志报错SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
weixin_34363171的博客
04-09 8457
参考文章 Mosquitto服务器的搭建以及SSL/TLS安全通信配置 Mosquitto SSL Configuration -MQTT TLS Security 读者Abhinav Saxena的评论 OpenSSL - error 18 at 0 depth lookup:self signed certificate 系统版本...
iOS逆向小知识:SSLHandshake: Received fatal alert: certificate_unknown的解决方案(Charles分析报文常遇到的问题)
专注于计算机研发知识和资讯分享
08-12 2万+
当https 链接的证书得不到Charles证书的信任之后,就会包这个。解决:   可以使用以下openssl命令来获取到服务器的公开二进制证书(以google为例):"openssl s_client -connect www.google.com:443 </dev/null 2>/dev/null | openssl x509 -outform DER > https.cer"让手机去信任c
OpenSSL 3.0
05-30
<think>好的,用户想了解OpenSSL3.0的安装配置教程和常见问题解决方案。首先我需要整理安装步骤,确保符合不同操作系统的情况。用户可能是在Linux环境下安装,比如CentOS或者Ubuntu,也可能在Windows上使用VS2019,引用[4]提到了VS的环境配置,这部分需要包含进去。安装部分,需要分源码编译和包管理器安装两种方式。源码安装通常更灵活,但步骤较多,容易出错。引用[3]提到成功配置后的提示和编译安装步骤,可以借鉴。包管理器安装可能更简单,但版本可能不是最新的,需要提醒用户注意。 接下来是配置环境变量,尤其是Linux下添加软链接,引用[3]中的例子,把安装路径链接到系统目录,这样命令行可以直接调用。Windows的环境配置在VS项目中设置包含目录和库目录,引用[4]详细说明了路径设置,这部分要详细说明。常见问题方面,用户可能遇到版本冲突,比如引用[2]里用户降级到1.1.0解决了问题,但用户现在需要3.0,可能需要处理依赖问题或兼容性。编译错误需要检查系统依赖库是否安装,比如perl和make工具。还有运行时的库路径问题,比如LD_LIBRARY_PATH的设置,避免找不到动态库。 另外,引用[5]提到源码编译安装的情况,虽然针对zabbix,但同样适用于OpenSSL,特别是强调依赖版本的重要性。可能用户在使用过程中需要与其他软件集成,比如Python环境,引用[3]提到Python需要openssl支持,这也可能需要补充说明。最后,生成相关问题时要覆盖安装、配置、问题排查以及应用场景,比如如何使用OpenSSL进行加密操作,如何集成到其他项目里。确保问题能引导用户进一步探索解决方案。</think>### OpenSSL 3.0 安装配置教程 OpenSSL 3.0 是一个重要的版本更新,引入了新的API和功能(如FIPS模块支持),但也可能导致兼容性问题。以下是安装配置的核心步骤: #### 一、安装步骤 1. **源码编译安装(Linux/macOS)** - **下载源码**: ```bash git clone https://github.com/openssl/openssl.git cd openssl git checkout openssl-3.0 # 切换到3.0分支 ``` - **配置与编译**: ```bash ./config --prefix=/usr/local/openssl3 --openssldir=/usr/local/openssl3 make # 编译 make test # 可选,运行测试 sudo make install ``` - **添加环境变量**: 在`~/.bashrc`或`~/.zshrc`中添加: ```bash export PATH="/usr/local/openssl3/bin:$PATH" export LD_LIBRARY_PATH="/usr/local/openssl3/lib64:$LD_LIBRARY_PATH" ``` 2. **包管理器安装(部分Linux发行版)** - Ubuntu/Debian: ```bash sudo apt install openssl libssl-dev ``` *注意:可能需要添加第三方仓库获取3.0版本[^5]。* 3. **Windows环境配置(VS2019)** - 安装OpenSSL 3.0 Windows二进制包(从官网下载)。 - 在VS项目中设置包含目录和库目录: - 包含目录:`C:\OpenSSL\include` - 库目录:`C:\OpenSSL\lib` - 链接器附加依赖项:`libssl.lib, libcrypto.lib`[^4]。 #### 二、常见问题解决方案 1. **版本冲突问题** - **现象**:系统存在多个OpenSSL版本(如1.1.1和3.0),导致命令调用混乱。 - **解决**:通过软链接指定默认版本: ```bash sudo ln -sf /usr/local/openssl3/bin/openssl /usr/bin/openssl ``` 2. **编译错误** - **依赖缺失**:确保安装`perl`、`make`、`gcc`等工具链。 - **API不兼容**:OpenSSL 3.0弃用了部分旧API,需检查代码中是否使用了`EVP_MD_CTX_create()`等旧函数[^3]。 3. **运行时库加载失败** - **现象**:`error while loading shared libraries: libssl.so.3`。 - **解决**:更新动态链接库缓存: ```bash sudo ldconfig /usr/local/openssl3/lib64 ``` #### 三、验证安装 ```bash openssl version # 预期输出:OpenSSL 3.0.x ``` --- ###
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

村中少年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值