SSL双方�pȝ��旉��不一致导致的SSL�q�接��p�|及其解决�Ҏ��

Fri, 25 Jul 2008 09:45:00 GMT

　　在��品��用中�Q�实施�h员常常报告服务器与客��L��无法�q�接�Q�究其原因是因�ؓ客户端机器与服务端机器系�l�时间不一��_��原因在于�pȝ��使用了OpenSSL�Q�证书中有一个有效时间段�Q�当客户端或服务器的�pȝ��旉��不在�q�个旉��D�内时SSL会因证书验证��p�|而无法连接．在实施中�pȝ��旉��错误是很常见的，因不能上�|�而未开旉��自动同步�Q�bios没电了，客户疏忽�{�原因都会导致系�l�时间设�|�有误．如果�q�接��p�|后再查看�pȝ��旉��讄��L��一��w��烦的事情�Q�那么有哪些办法可以自动避免�q�个问题呢？
　　一�Q�将证书的有效期讑־�够大�Q�如�Q?970-2099
　　　�q�样估计可以在一定程度上解决�q�个问题�Q�不�q�这也是个馊��L��Q?br>　　二，��及必要时自动同步客��L��与服务器的时�?br>　　通过用wireshake抓包分析SSL建立�q�接的过�E�，发现在SSL握手�q�程中，会向�Ҏ��传送本机的�pȝ��旉��Q�因此一个显而易见的办法��是获取�Ҏ��的时��_��然后在必要时��本机的�pȝ��旉��改�ؓ�Ҏ��的系�l�时��_��p�|后再�q�一�ơ．下面是具体的�C�Z��代码�Q?br>

#include <openssl/ssl.h>
#include <openssl/bio.h>
#include <openssl/err.h>
#include <winsock2.h>
#include <stdio.h>
#include <string.h>
#include <time.h>

typedef struct _TimeInfo
{
    time_t client;  /*客户端的旉��*/
    time_t server;  /*服务器的旉��*/
} TimeInfo;

/**
* 同步�pȝ��旉��.
*/
BOOL syncSystemTime(time_t t)
{
    SYSTEMTIME st;
    FILETIME   ft;
    LONGLONG   ll;

    ll = Int32x32To64(t, 10000000) + 116444736000000000; //1970.01.01

    ft.dwLowDateTime  = (DWORD)ll;
    ft.dwHighDateTime = (DWORD)(ll >> 32);

    return FileTimeToSystemTime(&ft, &st) && SetSystemTime(&st);
}

/**
* 获取SSL握手�q�程中服务器与客��L��双方的系�l�时�?
*/
void getSSLHandleShakeTimeInfo(int write_p,
                               int version,
                               int content_type,
                               const unsigned char* buf,
                               size_t len,
                               SSL *ssl,
                               TimeInfo *ti)
{
    if(content_type != 22)   //require handshake message
        return;
    if(len < 42)
        return;
    if(buf[0] == 1)          //ClientHello Message send from client to server
        ti->client = htonl(*((u_long*)(buf + 6)));
    else if(buf[0] == 2)     //ServerHello Message send from server to client
        ti->server = htonl(*((u_long*)(buf + 6)));
    else
        return;
}

int main()
{
    BIO * bio;
    SSL * ssl;
    SSL_CTX * ctx;
    TimeInfo timeInfo = {-1, -1};
    BOOL timeSynced = FALSE;
    long result;

    /* Set up the library */
    SSL_library_init();
    ERR_load_BIO_strings();
    SSL_load_error_strings();

    /* Set up the SSL context */
    ctx = SSL_CTX_new(SSLv3_client_method());
    if(ctx == NULL)
    {
        fprintf(stderr, "Error new SSL_CTX\n");
        ERR_print_errors_fp(stderr);
        SSL_CTX_free(ctx);
        return 0;
    }

    /* Get Server and Client system time via SSL Handshake */
    SSL_CTX_set_msg_callback(ctx, getSSLHandleShakeTimeInfo);
    SSL_CTX_set_msg_callback_arg(ctx, &timeInfo);

    /* Load the trust store */
    if(! SSL_CTX_load_verify_locations(ctx, ".\\certs\\cacert.pem", NULL))
    {
        fprintf(stderr, "Error loading trust store\n");
        ERR_print_errors_fp(stderr);
        SSL_CTX_free(ctx);
        return 0;
    }

    /* Setup the connection */
    bio = BIO_new_ssl_connect(ctx);

    /* Set the SSL_MODE_AUTO_RETRY flag */
    BIO_get_ssl(bio, & ssl);
    SSL_set_mode(ssl, SSL_MODE_AUTO_RETRY);

    /* Create and setup the connection */
    BIO_set_conn_hostname(bio, "192.168.1.5:5555");
    if(BIO_do_connect(bio) <= 0)
    {
        fprintf(stderr, "Error attempting to connect\n");
        ERR_print_errors_fp(stderr);
        BIO_free_all(bio);
        SSL_CTX_free(ctx);
        return 0;
    }

    /* Check the certificate */
    switch(SSL_get_verify_result(ssl))
    {
    case X509_V_OK:
        break;
    case X509_V_ERR_CERT_NOT_YET_VALID:
    case X509_V_ERR_CERT_HAS_EXPIRED:
        if(timeInfo.server != -1 && timeInfo.client != -1)
        {
            printf("当前客户端时�? %s", ctime(&timeInfo.client));
            printf("当前服务器时�? %s", ctime(&timeInfo.server));
            printf("��试与服务器旉��同步");

            if(syncSystemTime(timeInfo.server))
                printf("成功\n");
            else
                printf("��p�|\n");
            printf("请重试连接服务器�Q�\n");
        }
    default:
        fprintf(stderr, "Certificate verification error: %i\n", SSL_get_verify_result(ssl));
        BIO_free_all(bio);
        SSL_CTX_free(ctx);
        return 0;
    }

    /* Close the connection and free the context */
    BIO_free_all(bio);
    SSL_CTX_free(ctx);
    return 0;
}

唐新�?/a> 2008-07-25 17:45 发表评论

emacs用于在c/c++头文件中生成包含保护��_��include guard�Q�的lisp函数

Wed, 21 May 2008 15:40:00 GMT

�q�东东好像有很多人写�q�，不过看了几个都觉得不怎么漂亮�Q�花了点旉��实现了下面的函数�Q�用��h��q�不错�?br>;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;; c/c++ header include guard
(defun insert-include-guard ()
"insert include guard for c and c++ header file.
for file filename.ext will generate:
#ifndef FILENAME_EXT_
#define FILENAME_EXT_

original buffer content

#endif//FILENAME_EXT_
"
(interactive)
(setq file-macro
    (concat (replace-regexp-in-string "\\." "_" (upcase (file-name-nondirectory buffer-file-name))) "_"))
(setq guard-begin (concat "#ifndef " file-macro "\n"
                "#define " file-macro "\n\n"))
(setq guard-end
    (concat "\n\n#endif//" file-macro "\n"))
(setq position (point))
(goto-char (point-min))
(insert guard-begin)
(goto-char (point-max))
(insert guard-end)
(goto-char (+ position (length guard-begin))))

唐新�?/a> 2008-05-21 23:40 发表评论

avtt天堂网久久精品,久久精品三级视频,狠狠色婷婷久久一区二区三区

SSL双方�pȝ��旉���不一致导致的SSL�q�接��p�|及其解决�Ҏ��

emacs用于在c/c++头文件中生成包含保护��_��include guard�Q�的lisp函数

SSL双方�pȝ��旉��不一致导致的SSL�q�接��p�|及其解决�Ҏ��