打开Pegasus 2.14.1客户端连接问题
Open Pegasus 2.14.1 client connection issue
我想构建新版本的Open Pegasus客户端(2.14.1(。不幸的是,我面临一些构建问题。有人知道解决这些问题的方法吗?
我的环境是:
- 操作系统:Windows 8.1 Enterprise
- Make版本:GNU Make 3.81
- 飞马座源版本:2.14.1
- OpenSSL版本:1.0.2a
我的场景很简单:
- 我已经下载了Open Pegasus 2.14.1的源代码
- 我已经下载了OpenSSL二进制文件(实际版本v1.0.2a(
-
提取Pegasus源代码后,我用这些设置:
call "C:Program Files (x86)Microsoft Visual Studio 12.0VCbinvcvars32.bat" set PEGASUS_ROOT=D:/Dev/pegasus-2.14.1/pegasus set PEGASUS_HOME=%PEGASUS_ROOT% set PEGASUS_PLATFORM=WIN32_IX86_MSVC set path=%path%;%PEGASUS_HOME%bin set OPENSSL_HOME=D:/Dev/OpenSSL-Win32 set PEGASUS_HAS_SSL=true -
下一步是构建mu.exe工具。所以,我执行了"makebuildmu"=>成功构建并复制到"/bin"文件夹喜欢建造飞马座,所以:"make build"=>过了一段时间我得到了这个错误:
消息.cpp(433(:错误C2065:"magic":未声明的标识符
-
我试图解决这个问题。我发现魔术常数是定义的在\pegass-2.2.14.1\pegass\src\Pegass\Common\Linkable.h文件中有两个选项:a(将构建配置切换到DEBUG(设置PEGASUS_DEBUG=true(b(从中的第62行删除调试条件可链接的.h文件然后,我再次尝试构建飞马座,不幸的是我得到了这个错误:
错误LNK2005:_OPENSSL_Applink已在SSLContext.obj中定义
在这一点上,我不知道如何解决这个问题。我只是想删除这些行:
# ifdef PEGASUS_OS_TYPE_WINDOWS
# include<openssl/applink.c>
# endif
来自SSLContext Rep.h文件。在这次修改之后,我能够获得Pegasus客户端的二进制文件。但是这些二进制文件在没有SSL的情况下工作,当我想使用SSL通信时,我总是会遇到错误:"Pegasus异常:"无法连接到10.199.1.139:5989。"。连接失败。'。",所以我认为这是因为我在SSLContext Rep.h 中修改了代码
飞马座跟踪器的输出:
SSL:未连接1错误:140740BF:SSL例程:SSL23_CLIENT_HELLO:没有可用的协议SSL:已删除SSL套接字
有人知道会出什么问题吗?是否有人拥有一些(更好的(Windows环境配置步骤来构建OpenPegasus?
非常感谢您的帮助。
编辑:
我需要能够在没有证书的情况下工作。因为我使用SSL与各种存储阵列通信,而且我没有它们的证书。因此,我使用SSLContext的构造函数:
SSLContext sslContext(String::EMPTY, NULL, String::EMPTY);
这种方法在OpenPegasus 2.13版本中对我来说很好。
Outputs from Pegasus Tracer:
SSL: Not connected 1 error:140740BF:SSL routines:SSL23_CLIENT_HELLO:no protocols available SSL: Deleted SSL socket
以下是消息的来源:
$ grep -nR "Deleted SSL socket" *
src/Pegasus/Common/TLS.cpp:172: PEG_TRACE_CSTRING(TRC_SSL, Tracer::LEVEL3, "---> SSL: Deleted SSL socket");
第172行的代码:
SSLSocket::~SSLSocket()
{
PEG_METHOD_ENTER(TRC_SSL, "SSLSocket::~SSLSocket()");
close();
delete static_cast<SharedPtr<X509_STORE, FreeX509STOREPtr>*>(_crlStore);
SSL_free(static_cast<SSL*>(_SSLConnection));
PEG_TRACE_CSTRING(TRC_SSL, Tracer::LEVEL3, "---> SSL: Deleted SSL socket");
PEG_METHOD_EXIT();
}
如果你查看.../src/Pegasus/Common/SSLContext.cpp,你会看到:
SSL_CTX* SSLContextRep::_makeSSLContext()
{
PEG_METHOD_ENTER(TRC_SSL, "SSLContextRep::_makeSSLContext()");
//
// create SSL Context Area
//
SSL_CTX *sslContext = NULL;
if (!(sslContext = SSL_CTX_new(SSLv23_method())))
{
PEG_METHOD_EXIT();
MessageLoaderParms parms(
"Common.SSLContext.COULD_NOT_GET",
"Could not get SSL CTX");
throw SSLException(parms);
}
int options = SSL_OP_ALL;
SSL_CTX_set_options(sslContext, options);
if ( _sslCompatibility == false )
{
#ifdef TLS1_2_VERSION
// Enable only TLSv1.2 and disable all other protocol (SSL v2, SSL v3,
// TLS v1.0, TLSv1.1)
options = SSL_OP_NO_TLSv1 | SSL_OP_NO_TLSv1_1 | SSL_OP_NO_SSLv3;
#else
PEG_METHOD_EXIT();
MessageLoaderParms parms(
" Common.SSLContext.TLS_1_2_PROTO_NOT_SUPPORTED",
"TLSv1.2 protocol support is not detected on this system. "
" To run in less secured mode, set sslBackwardCompatibility=true"
" in planned config file and start cimserver.");
throw SSLException(parms);
#endif
}
// sslv2 is off permanently even if sslCompatibility is true
options |= SSL_OP_NO_SSLv2;
SSL_CTX_set_options(sslContext, options);
#ifdef PEGASUS_SSL_WEAKENCRYPTION
if (!(SSL_CTX_set_cipher_list(sslContext, SSL_TXT_EXP40)))
{
SSL_CTX_free(sslContext);
sslContext = NULL;
MessageLoaderParms parms(
"Common.SSLContext.COULD_NOT_SET_CIPHER_LIST",
"Could not set the cipher list");
throw SSLException(parms);
}
#endif
if (_cipherSuite.size() != 0)
{
if (!(SSL_CTX_set_cipher_list(sslContext, _cipherSuite.getCString())))
{
SSL_CTX_free(sslContext);
sslContext = NULL;
PEG_TRACE_CSTRING(TRC_SSL, Tracer::LEVEL3,
"---> SSL: Cipher Suite could not be specified");
MessageLoaderParms parms(
"Common.SSLContext.COULD_NOT_SET_CIPHER_LIST",
"Could not set the cipher list");
throw SSLException(parms);
}
else
{
PEG_TRACE((TRC_SSL, Tracer::LEVEL3,
"---> SSL: Cipher suite set to %s",
(const char *)_cipherSuite.getCString()));
}
}
...
}
出于两个原因,我将放弃该函数,改为添加以下内容。
首先,它是为客户端和服务器编写的非道德例程之一。从我使用OpenSSL的经验中,我发现SSL_CTX* GetClientContext()和SSL_CTX* GetServerContext()有单独的函数。
其次,从安全工程的角度来看,您不允许人们使用PEGASUS_SSL_WEAKENCRYPTION或空密码列表之类的东西进入糟糕的状态。你把枪拿走,这样他们就不会朝自己的脚开枪了。
SSL_CTX* SSLContextRep::_makeSSLContext()
{
PEG_METHOD_ENTER(TRC_SSL, "SSLContextRep::_makeSSLContext()");
SSL_CTX *sslContext = NULL;
if (!(sslContext = SSL_CTX_new(SSLv23_method())))
{
PEG_METHOD_EXIT();
MessageLoaderParms parms(
"Common.SSLContext.COULD_NOT_GET",
"Could not get SSL CTX");
throw SSLException(parms);
}
// TLS 1.0 and above. No compression because it leaks information.
static const long options = SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3 | SSL_OP_NO_COMPRESSION;
SSL_CTX_set_options(sslContext, options);
const char* const PREFERRED_CIPHERS = "HIGH:!aNULL:!kRSA:!PSK:!SRP:!MD5:!RC4";
int res = SSL_set_cipher_list(sslContext, PREFERRED_CIPHERS);
if(res != 1)
{
PEG_TRACE_CSTRING(TRC_SSL, Tracer::LEVEL3,
"---> SSL: Cipher Suite could not be specified");
MessageLoaderParms parms(
"Common.SSLContext.COULD_NOT_SET_CIPHER_LIST",
"Could not set the cipher list");
throw SSLException(parms);
}
// Keep this stuff
SSL_CTX_set_quiet_shutdown(sslContext, 1);
SSL_CTX_set_mode(sslContext, SSL_MODE_AUTO_RETRY);
SSL_CTX_set_mode(sslContext, SSL_MODE_ENABLE_PARTIAL_WRITE);
SSL_CTX_set_session_cache_mode(sslContext, SSL_SESS_CACHE_OFF);
SSL_CTX_set_mode(sslContext, SSL_MODE_RELEASE_BUFFERS);
// Back to gutting. We don't allow VERIFY_PEER_NONE.
{
PEG_TRACE_CSTRING(TRC_SSL, Tracer::LEVEL4,
"---> SSL: certificate verification callback specified");
SSL_CTX_set_verify(sslContext,
SSL_VERIFY_PEER, prepareForCallback);
}
// Some more gutting. Certificates have to be verified.
if(_trustStore.size() == 0)
{
PEG_TRACE((TRC_SSL, Tracer::LEVEL1,
"---> SSL: Could not load certificates from the "
"trust store: %s",
(const char*)_trustStore.getCString()));
MessageLoaderParms parms(
"Common.SSLContext.COULD_NOT_LOAD_CERTIFICATES",
"Could not load certificates in to trust store.");
SSL_CTX_free(sslContext);
sslContext = NULL;
PEG_METHOD_EXIT();
throw SSLException(parms);
}
if ( !SSL_CTX_load_verify_locations(
sslContext, _trustStore.getCString(), NULL) )
{
PEG_TRACE((TRC_SSL, Tracer::LEVEL1,
"---> SSL: Could not load certificates from the "
"trust store: %s",
(const char*)_trustStore.getCString()));
MessageLoaderParms parms(
"Common.SSLContext.COULD_NOT_LOAD_CERTIFICATES",
"Could not load certificates in to trust store.");
SSL_CTX_free(sslContext);
sslContext = NULL;
PEG_METHOD_EXIT();
throw SSLException(parms);
}
// I'm not sure what to do with CRLs. They are usually a DoS waiting to happen....
if (_crlPath.size() != 0)
{
// need to save this -- can we make it static since there's only
// one CRL for cimserver?
X509_LOOKUP* pLookup;
_crlStore.reset(X509_STORE_new());
if (_crlStore.get() == NULL)
{
SSL_CTX_free(sslContext);
sslContext = NULL;
PEG_METHOD_EXIT();
throw PEGASUS_STD(bad_alloc)();
}
// the validity of the crlstore was checked in ConfigManager
// during server startup
if (FileSystem::isDirectory(_crlPath))
{
PEG_TRACE((TRC_SSL, Tracer::LEVEL4,
"---> SSL: CRL store is a directory in %s",
(const char*)_crlPath.getCString()));
if ((pLookup = X509_STORE_add_lookup(
_crlStore.get(), X509_LOOKUP_hash_dir())) == NULL)
{
MessageLoaderParms parms(
"Common.SSLContext.COULD_NOT_LOAD_CRLS",
"Could not load certificate revocation list.");
_crlStore.reset();
SSL_CTX_free(sslContext);
sslContext = NULL;
PEG_METHOD_EXIT();
throw SSLException(parms);
}
X509_LOOKUP_add_dir(
pLookup, (const char*)_crlPath.getCString(), X509_FILETYPE_PEM);
PEG_TRACE_CSTRING(TRC_SSL, Tracer::LEVEL3,
"---> SSL: Successfully configured CRL directory");
}
else
{
PEG_TRACE((TRC_SSL, Tracer::LEVEL4,
"---> SSL: CRL store is the file %s",
(const char*)_crlPath.getCString()));
if ((pLookup = X509_STORE_add_lookup(
_crlStore.get(), X509_LOOKUP_file())) == NULL)
{
MessageLoaderParms parms(
"Common.SSLContext.COULD_NOT_LOAD_CRLS",
"Could not load certificate revocation list.");
_crlStore.reset();
SSL_CTX_free(sslContext);
sslContext = NULL;
PEG_METHOD_EXIT();
throw SSLException(parms);
}
X509_LOOKUP_load_file(
pLookup, (const char*)_crlPath.getCString(), X509_FILETYPE_PEM);
PEG_TRACE_CSTRING(TRC_SSL, Tracer::LEVEL4,
"---> SSL: Successfully configured CRL file");
}
}
Boolean keyLoaded = false;
// Gut server specific certificate and key routines since this is a client.
PEG_METHOD_EXIT();
return sslContext;
}
TLS 1.2和AEAD密码套件是非常的不错选择。但是,对于大多数意图和目的,TLS 1.0及更高版本是可以的。
我认为这可能是客户端中0x140740BF的原因。它来自线路SSLContext.cpp,824:
SSL_CTX_set_verify(sslContext,
SSL_VERIFY_PEER | SSL_VERIFY_CLIENT_ONCE, prepareForCallback);
看起来服务器需要证书。
但通常您会收到不同的TLS警报。
并且源不调用SSL_set_tlsext_host_name,因此SNI似乎已损坏。你可能应该为此提交一份错误报告。。。
$ grep -nR SSL_set_tlsext_host_name *
$
您必须弄清楚客户端在哪里进行连接,并将其设置为SSL*选项:
SSL_set_tlsext_host_name(ssl, hostname);
SSLSocket::SSLSocket附近的某个地方可能是一个不错的选择,因为它的构造函数接受一个字符串,并且sslConnection在ctor中可用。
SSLSocket::SSLSocket(
SocketHandle socket,
SSLContext * sslcontext,
ReadWriteSem * sslContextObjectLock,
const String& ipAddress)
但我敢肯定,你需要一个DNS名称,而不是IP地址,因为同一IP上不同服务器的多路复用首先导致了对SNI的需求。
但我可能错了。const String& ipAddress实际上可以是DNS名称。
我收到了Open Pegasus开发团队的回复。他们用"魔术"常量为这个问题创建了bug。此外,在我的情况下,他们建议使用sslBackwardCompatibility=true配置进行构建。
这种设置在一定程度上帮助了我。对于某些存储阵列,SSL通信已开始工作。但对于一些人来说,它仍然报告"无法连接"异常。
我找到的唯一解决方法是用OpenPegasus 2.13版本的代码替换_makeSSLContext((方法的代码。经过这次修改,我可以使用SSL通信与我的所有存储阵列+新Pegasus版本的所有功能。
相关文章:
- 检测grpc服务器中关闭的客户端连接
- 如何将请求的客户端连接的 IP 与 QTcpSocket 类中识别的 IP 之一进行比较?
- 如何在客户端连接时在QT中更新QGraphicsView
- 在使用 Poll() 的 TCP 服务器 - 客户端连接中,我是否需要手动设置事件?我从来没有到达 POLLOUT 来写
- COM 客户端连接 COM 服务器所需的文件是什么(进程外方案)
- Apache Thrift C++服务器超时客户端连接
- QJSONRPC 中的客户端连接/断开连接事件
- 从一个客户端连接两个套接字
- 聊天应用程序-从客户端连接到服务器时出现故障
- Boost.asio服务器客户端.连接2台计算机
- 处理客户端连接的最有效方法(套接字编程)
- 在Windows下处理多个客户端连接的最佳方法(不使用线程)
- 视觉对象 我的客户端连接类出了什么问题?C++
- 多线程服务器在不等待客户端连接的情况下退出
- boost::asio客户端连接停止接收数据
- 增强多个客户端连接
- 当客户端连接越来越少的时候(在linux上使用套接字编程),服务器监听的明智方法是什么?
- c++的提升.Asio服务器和客户端连接理解
- 关闭阻塞客户端连接webscokettpp客户端从c# UI应用程序
- 如何使gRPC服务器只支持一个客户端连接
