OpenSSL中重要的命令 —— s_server 和s_client

最新推荐文章于 2025-06-22 18:53:17 发布
最新推荐文章于 2025-06-22 18:53:17 发布
阅读量1.6w 收藏 6
点赞数 3
CC 4.0 BY-SA版权
分类专栏: openssl 文章标签: openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiangguiwang/article/details/74017269
本文介绍了在Linux环境下如何使用OpenSSL的s_server和s_client命令进行双向认证测试,包括命令的基本用法及具体实例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

OpenSSL中重要的命令 —— s_server 和s_client

        一、背景

        在使用OpenSSL的过程中我们经常会使用openssl命令(一级命令) 和其他二级命令组合来测试基于OpenSSL开发的功能。比如签名、验签功能、验证握手协议等等。

本次的例子是在Linux环境下演示的。在Linux的安装目录下使用openssl命令。

        二、举例说明

        1、显示所有二级命令

        在终端输入 ./openssl help . 如下图所示,由于篇幅有限,只显示了部分图片。

       

        2、显示二级命令的用法

        在终端输入./openssl 二级命令 help. 下图是查看s_server 这个二级命令的使用方法。

       


        3、openssl s_server命令和s_client 命令的使用方法

        s_server 命令和s_client 命令主要是测试openssl 握手的套件是否可用、是否能正常密钥协商。

        举例说明:

        ECDHE-SM4-SM3 套件,top1.1协议 下的双向验证测试方法。
        ./openssl s_client -connect 127.0.0.1:443 -cert cert/sm2/sm21.cer -key cert/sm2/sm21.key -CAfile cert/sm2/sm2root.cer -dcert cert/sm2/sm22.cer -dkey cert/sm2/sm22.key -cipher ECDHE-SM4-SM3 -top1.1


         ./openssl  s_server -cert cert/sm2/sm22.cer -key cert/sm2/sm22.key   -dcert cert/sm2/sm21.cer -dkey cert/sm2/sm21.key  -Verify 1  -CAfile cert/sm2/sm2root.cer   -port 443 -cipher ECDHE-SM4-SM3 -top1.1

openssl s_client工具详解
N阶二进制的博客
11-04 5563
OpenSSL 工具中的一个命令,用于建立测试 SSL/TLS 连接。它通常用于诊断测试 SSL/TLS 服务的运行情况。openssl 版本3.0X。
OpenSSL中文手册之命令行详解(未完待续)
liao20081228的博客
08-14 2万+
1 标准命令  查看帮助的办法:openssl 命令 -h。1.1 标准命令 命令 功能 备注 证书相关 req PKCS10 X.509证书签名请求(CSR)管理。 申请证书 pkcs7 PKCS7加密消息语法,各种消息存放的格式标准;用于处理DER或者PEM格式的pkcs7文件 消息格式 pkcs12 PKCS#12数据管理。工具,用于生
openssl s_client
艾小小雨的博客
04-11 1350
用途: s_client为一个SSL/TLS客户端程序,与s_server对应,它不仅能与s_server进行通信,也能与任何使用ssl协议的其他服务程序进行通信。语法:s_client args参数说明: -host host - use -connect instead -port port - use -connect instead -connect host...
OpenSSL基操
最新发布
weixin_51430302的博客
06-22 1329
根据私钥导出公钥。
Openssl s_server命令
weixin_34235371的博客
07-24 1338
一、简介 s_serveropenssl提供的一个SSL服务程序。使用此程序前,需要生成各种证书。本命令可以用来测试ssl客户端,比如各种浏览器的https协议支持   二、语法 openssl s_server [-accept port] [-context id] [-verify depth] [-Verify depth] [-crl_check] [-crl_check_...
OpenSSL】s_client s_server
鸿蕊瑞琳
09-04 5015
(一)生成证书的三种方式。
openssl s_server命令
来说意义非凡3
03-05 1325
使用openssl s_server 测试搭建https-server测试,选项如下:usage: s_server [args ...] -accept arg - port to accept on (default is 4433) -verify_hostname host - check peer certificate matches "host" -verify_emai...
OpenSSL命令---s_client
热门推荐
VitalityShow(网络通讯)
11-18 4万+
s_client为一个SSL/TLS客户端程序,与s_server对应,它不仅能与s_server进行通信,也能与任何使用ssl协议的其他服务程序进行通信。
Win64OpenSSL-1_1_0
11-17
2. **Tools(工具)**:OpenSSL附带了一系列命令行工具,如`openssl s_client`、`openssl s_server`用于测试SSL连接,`openssl genrsa`、`openssl req`用于生成RSA密钥对证书请求,`openssl x509`用于处理X.509...
Win32OpenSSL-1_0_2c.zip
10-02
6. **Command Line Tools**:OpenSSL还附带了一系列命令行工具,如`openssl s_client`、`openssl s_server`、`openssl genpkey`等,方便开发者进行证书生成、加密解密、密钥交换等操作。 7. **APIs**:OpenSSL提供...
OpenSSL中文手册之BIO库详解
liao20081228的博客
08-15 4万+
这一系文章参考了http://blog.youkuaiyun.com/xiaoting451292510/article/details/466495831 BIO 概述  其实包含了很多种接口,用通用的函数接口,主要控制在BIO_METHOD中的不同实现函数控制,包括6种filter型8种source/sink型。   source/sink类型的BIO是数据源,例如,sokect BIO文件BIO。
Openssl s_client命令
weixin_34236497的博客
07-24 650
一、简介 s_client为一个SSL/TLS客户端程序,与s_server对应,它不仅能与s_server进行通信,也能与任何使用ssl协议的其他服务程序进行通信   二、语法 openssl s_client [-host host] [-port port] [-connect host:port] [-verify depth] [-cert filename] [-certf...
openssl s_server/s_client 测试
wup422457601的博客
06-21 4677
openssl s_server/s_client 测试 注: 文中部分内容引用其他博客文章,特此申明! 目录openssl s_server/s_client 测试一、ssl 通信原理二、openssl 证书三、连接测试1.s_server2.s_client四、openssl 参数说明 一、ssl 通信原理 SSL 认证方式: 无认证:双方都不校验对方合法性,通信过程加密。 单向认证:客户端验证服务器的合法性,服务器不验证客户端。 双向认证:客户端验证服务器合法性、服务器也会验证客户端合法性。
OpenSSL之s_client分析
u012023606的博客
09-09 5870
系列文章目录 本系列OpenSSL使用的代码版本为:1.0.2o 前言 本篇文章纯属个人学习的一点经验分享,若有不对之处烦请各位大神现身指点,希望能大家一起共同进步 一、s_client是什么? s_clientopenssl命令行插件中的客户端部分,使用openssl命令进行ssl连接,命令如: openssl s_client -cert ./sm2_pki.cer -key ./priv.key -cipher ECC-SM4-SM3 -connect ip:port 二、s_cli
s_server命令
zysee的专栏
01-16 1227
用法:openssl s_server [-accept port] [-context id] [-verify depth] [-Verify depth] [-cert filename] [-key keyfile] [-dcert filename][-dkey keyfile] [-dhparam filename] [-nbio] [-nbio_test] [-crlf] [-deb
OpenSSL s_client
nsaygl的专栏
03-04 4914
用途: s_client为一个SSL/TLS客户端程序,与s_server对应,它不仅能与s_server进行通信,也能与任何使用ssl协议的其他服务程序进行通信。 用法: [cpp]view plaincopy openssls_client[-hosthost][-portport][-connecthost:port][-verifydepth][-cer...
openssl s_server
艾小小雨的博客
04-11 441
用途:s_server是oepnssl提供的一个SSL服务程序。使用此程序前,需要生成各种证书。语法:openssl s_server [-accept port] [-context id] [-verify depth] [-Verify depth][-crl_check] [-crl_check_all] [-cert filename] [-certform DER|PEM] ...
openssl——serverclient
嵌入式萌新_博客
08-13 7627
一. openssl中的s_server命令与s_client命令 1.1 s_server的man函数         NAME        s_server - SSL/TLS server program   SYNOPSIS        openssl s_server [-accept port] [-context id] [-verify depth] [-Ver...
OpenSSL s_server / s_client 应用实例
weixin_33882443的博客
09-02 1485
2019独角兽企业重金招聘Python工程师标准>>> ...
使用openssl建立dtls连接,当对端server重启后,本地client使用SSL_write仍然返回成功,SSL_get_error为0
06-11
<think>嗯,用户的问题是关于OpenSSLDTLS连接中一个非常具体的异常场景:当服务器重启后,客户端调用SSL_write返回成功(返回值>0),且SSL_get_error返回0,但实际数据并未发送出去。这确实是个棘手的网络编程问题。用户提供了OpenSSL文档中SSL_get_error的返回值定义作为参考,但核心需求是分析这个特定场景的成因解决方案。从技术细节看,用户应该是个资深开发者,正在处理DTLS协议的底层实现问题,可能是在开发物联网设备或实时通信系统这类对UDP可靠性要求高的场景。这个问题的关键点在于理解DTLS与TCP的区别:DTLS基于UDP,没有内置连接状态检测机制。当服务器突然重启时,客户端无法像TCP那样通过RST包立即感知连接中断。而OpenSSL的DTLS实现在底层socket未报错时,会误认为连接仍然有效。需要分三层分析原因:1)传输层:UDP的无状态特性导致客户端无法感知服务器重启2)OpenSSL层:DTLS协议没有自动重传机制处理底层中断3)应用层:业务代码缺少对SSL_write成功但实际发送失败的容错用户可能还隐含了一个需求:如何在保证实时性的前提下提升DTLS的可靠性。这需要引入额外的探测机制,但要注意心跳包间隔的权衡——太频繁影响性能,太少则故障检测延迟高。解决方案中最重要的是添加应用层心跳超时重传。考虑到DTLS多用于弱网环境,建议采用指数退避策略。示例代码里故意用非阻塞socket+select模型是考虑到用户场景可能需要高并发处理。用户如果后续追问细节,可能需要解释:为什么示例用1秒心跳(工业标准最小值),或者当服务器防火墙丢弃UDP包时的处理策略。这类边界情况在实际部署中确实常见。</think> 这个问题涉及OpenSSL DTLS连接的底层机制,其核心原因在于**DTLS基于UDP的无连接特性****OpenSSL的状态维护机制**。以下是具体分析解决方案: --- ### **问题原因分析** 1. **UDP无状态性** - DTLS基于UDP,UDP协议本身无连接状态。当服务器重启时,客户端UDP socket不会像TCP那样收到RST包,因此**客户端无法立即感知服务器下线**。 - 此时客户端调用`SSL_write()`,OpenSSL会将数据放入其**内部发送缓冲区**,返回成功值(>0)且`SSL_get_error=0`,但数据实际未被发送到网络。 2. **OpenSSL的DTLS重传机制失效** - DTLS协议设计了**消息重传机制**(通过定时器实现),但此机制仅在**首次握手或重协商阶段**有效。 - 已建立的连接中,`SSL_write()`**不触发重传逻辑**,导致数据滞留在缓冲区。 3. **底层Socket未报告错误** - UDP的`sendto()`调用成功仅表示数据加入内核发送队列,不保证对端接收。 - 内核未返回错误(如`ECONNREFUSED`),因此`SSL_get_error=0`(无错误)。 --- ### **解决方案** #### 1. **启用DTLS连接心跳检测** ```c // 设置心跳超时(单位:秒) DTLSv1_set_link_timeout(ssl, 60); // 周期性地发送心跳消息(如空明文) SSL_write(ssl, "", 0); ``` - 若心跳未响应,调用`SSL_get_error`检测到`SSL_ERROR_SYSCALL`或`SSL_ERROR_SSL`。 #### 2. **强制刷新缓冲区并检测错误** ```c int ret = SSL_write(ssl, data, len); if (ret > 0) { // 显式刷新缓冲区 ret = SSL_flush(ssl); // DTLS专用扩展函数 if (ret <= 0) { int ssl_err = SSL_get_error(ssl, ret); if (ssl_err == SSL_ERROR_SYSCALL) handle_error(errno); // 检查系统错误码 } } ``` #### 3. **实现应用层ACK机制** ```c // 客户端发送 SSL_write(ssl, payload, len); // 等待服务器ACK(设置超时) if (!wait_for_ack(ssl, timeout_ms)) { reset_connection(); // 重建连接 } ``` #### 4. **监听底层Socket可写事件** ```c // 在select/epoll中监控套接字可写事件 if (FD_ISSET(sockfd, &write_fds)) { int ret = SSL_write(ssl, data, len); if (ret <= 0) { int ssl_err = SSL_get_error(ssl, ret); // 处理SSL_ERROR_WANT_WRITE等错误 } } ``` #### 5. **服务器重启后主动重建连接** - 客户端检测到服务器IP变更(如DNS TTL过期)时: ```c SSL_shutdown(ssl); SSL_free(ssl); SSL_new(ctx); // 创建新连接 ``` --- ### **根本原因总结** | **层** | **问题** | **解决方案** | |---------------|------------------------------------------|--------------------------| | **传输层** | UDP无连接状态,内核不报错 | 应用层ACK+超时控制 | | **DTLS协议层**| 已建立连接无自动重传机制 | 心跳检测+强制刷新缓冲区 | | **OpenSSL层** | `SSL_write`成功仅表示数据入缓冲区 | 监听socket可写事件 | > 📌 **关键点**:DTLS需要**应用层实现可靠性**。OpenSSL的`SSL_write()`返回成功仅保证数据被库接受,不代表数据到达对端。需通过心跳、ACK、超时重建连接等机制补足UDP的不可靠性。 --- ### 相关问题 1. DTLS协议中如何正确处理握手阶段的丢包重传? 2. OpenSSL的`SSL_read`在DTLS连接中遇到`SSL_ERROR_WANT_READ`时该如何处理? 3. 如何通过Wireshark抓包分析DTLS连接的数据包丢失问题? 4. DTLS与QUIC协议在可靠性设计上有何异同? 5. 在NAT环境下如何保持DTLS连接的存活状态?
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值