欧美一区二区三区视频在线观看,欧美日韩精品一二三区,欧美在线二区

SSL雙方系統時間不一致導致的SSL連接失敗及其解決方案

　　在產品使用中，實施人員常常報告服務器與客戶端無法連接．究其原因是因為客戶端機器與服務端機器系統時間不一致．原因在于系統使用了OpenSSL，證書中有一個有效時間段，當客戶端或服務器的系統時間不在這個時間段內時SSL會因證書驗證失敗而無法連接．在實施中系統時間錯誤是很常見的，因不能上網而未開時間自動同步，bios沒電了，客戶疏忽等原因都會導致系統時間設置有誤．如果連接失敗后再查看系統時間設置總是一項麻煩的事情，那么有哪些辦法可以自動避免這個問題呢？
　　一，將證書的有效期設得夠大：如：1970-2099
　　　這樣估計可以在一定程度上解決這個問題，不過這也是個餿主意．
　　二，檢測及必要時自動同步客戶端與服務器的時間
　　通過用wireshake抓包分析SSL建立連接的過程，發現在SSL握手過程中，會向對方傳送本機的系統時間．因此一個顯而易見的辦法就是獲取對方的時間，然后在必要時將本機的系統時間改為對方的系統時間，失敗后再連一次．下面是具體的示例代碼：

#include <openssl/ssl.h>
#include <openssl/bio.h>
#include <openssl/err.h>
#include <winsock2.h>
#include <stdio.h>
#include <string.h>
#include <time.h>

typedef struct _TimeInfo
{
    time_t client;  /*客戶端的時間*/
    time_t server;  /*服務器的時間*/
} TimeInfo;

/**
* 同步系統時間.
*/
BOOL syncSystemTime(time_t t)
{
    SYSTEMTIME st;
    FILETIME   ft;
    LONGLONG   ll;

    ll = Int32x32To64(t, 10000000) + 116444736000000000; //1970.01.01

    ft.dwLowDateTime  = (DWORD)ll;
    ft.dwHighDateTime = (DWORD)(ll >> 32);

    return FileTimeToSystemTime(&ft, &st) && SetSystemTime(&st);
}

/**
* 獲取SSL握手過程中服務器與客戶端雙方的系統時間.
*/
void getSSLHandleShakeTimeInfo(int write_p,
                               int version,
                               int content_type,
                               const unsigned char* buf,
                               size_t len,
                               SSL *ssl,
                               TimeInfo *ti)
{
    if(content_type != 22)   //require handshake message
        return;
    if(len < 42)
        return;
    if(buf[0] == 1)          //ClientHello Message send from client to server
        ti->client = htonl(*((u_long*)(buf + 6)));
    else if(buf[0] == 2)     //ServerHello Message send from server to client
        ti->server = htonl(*((u_long*)(buf + 6)));
    else
        return;
}

int main()
{
    BIO * bio;
    SSL * ssl;
    SSL_CTX * ctx;
    TimeInfo timeInfo = {-1, -1};
    BOOL timeSynced = FALSE;
    long result;

    /* Set up the library */
    SSL_library_init();
    ERR_load_BIO_strings();
    SSL_load_error_strings();

    /* Set up the SSL context */
    ctx = SSL_CTX_new(SSLv3_client_method());
    if(ctx == NULL)
    {
        fprintf(stderr, "Error new SSL_CTX\n");
        ERR_print_errors_fp(stderr);
        SSL_CTX_free(ctx);
        return 0;
    }

    /* Get Server and Client system time via SSL Handshake */
    SSL_CTX_set_msg_callback(ctx, getSSLHandleShakeTimeInfo);
    SSL_CTX_set_msg_callback_arg(ctx, &timeInfo);

    /* Load the trust store */
    if(! SSL_CTX_load_verify_locations(ctx, ".\\certs\\cacert.pem", NULL))
    {
        fprintf(stderr, "Error loading trust store\n");
        ERR_print_errors_fp(stderr);
        SSL_CTX_free(ctx);
        return 0;
    }

    /* Setup the connection */
    bio = BIO_new_ssl_connect(ctx);

    /* Set the SSL_MODE_AUTO_RETRY flag */
    BIO_get_ssl(bio, & ssl);
    SSL_set_mode(ssl, SSL_MODE_AUTO_RETRY);

    /* Create and setup the connection */
    BIO_set_conn_hostname(bio, "192.168.1.5:5555");
    if(BIO_do_connect(bio) <= 0)
    {
        fprintf(stderr, "Error attempting to connect\n");
        ERR_print_errors_fp(stderr);
        BIO_free_all(bio);
        SSL_CTX_free(ctx);
        return 0;
    }

    /* Check the certificate */
    switch(SSL_get_verify_result(ssl))
    {
    case X509_V_OK:
        break;
    case X509_V_ERR_CERT_NOT_YET_VALID:
    case X509_V_ERR_CERT_HAS_EXPIRED:
        if(timeInfo.server != -1 && timeInfo.client != -1)
        {
            printf("當前客戶端時間: %s", ctime(&timeInfo.client));
            printf("當前服務器時間: %s", ctime(&timeInfo.server));
            printf("嘗試與服務器時間同步

");

            if(syncSystemTime(timeInfo.server))
                printf("成功\n");
            else
                printf("失敗\n");
            printf("請重試連接服務器！\n");
        }
    default:
        fprintf(stderr, "Certificate verification error: %i\n", SSL_get_verify_result(ssl));
        BIO_free_all(bio);
        SSL_CTX_free(ctx);
        return 0;
    }

    /* Close the connection and free the context */
    BIO_free_all(bio);
    SSL_CTX_free(ctx);
    return 0;
}

posted @ 2008-07-25 17:45 唐新發閱讀(5552) | 評論 (0) | 編輯收藏

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

2008年7月25日

2008年5月21日

常用鏈接

留言簿(5)

隨筆檔案

文章分類

文章檔案

搜索

最新評論

閱讀排行榜

評論排行榜

路的盡頭開發者之旅
C++博客 \| 首頁 \| 發新隨筆 \| 發新文章 \| 聯系 \| 聚合 \| 管理	隨筆：2 文章：57 評論：5 引用：0