java的ssl的一点问题,没搞定

服务端是一个基于mina开发的socket server, 连接采用ssl加密。 在服务端即配置了mina的SSLFilter.

客户端的c程序访问的时候,是一切正常的。 而使用java作为客户端,不论是用mina还是直接自己写SSlContext获得socketFactory,结果都一样,有2个怪异的现象。
1. tcp的3次握手完成之后,应该开始进行ssl握手,但是客户端发出的clientHello包却经过了明显的延迟(170ms左右)才发出来。
2. 最后的结束,不是正确的tcp 4次挥手 fin/ack/fin/ack。 而是最后以rst结束。 (猜测是ssl的 close_notify包处理的不正确?)
尽管有这2个现象的存在,但数据的交互却完全是正常的。 如果不是用tcpdump去抓包的话,甚至不会知道底下出现了这样怪异的现象。google也找不到有用的信息。

tcpdump抓包结果如下:

20:12:31.895990 IP 10.18.65.39.47552 > 10.108.90.237.8080: S 1674804305:1674804305(0) win 29200 <mss 1460,sackOK,timestamp 7589134 0,nop,wscale 7>
20:12:31.896079 IP 10.108.90.237.8080 > 10.18.65.39.47552: S 1592612872:1592612872(0) ack 1674804306 win 14480 <mss 1460,sackOK,timestamp 1355739116 7589134,nop,wscale 7>
20:12:31.896521 IP 10.18.65.39.47552 > 10.108.90.237.8080: . ack 1 win 229 <nop,nop,timestamp 7589134 1355739116>
20:12:32.066097 IP 10.18.65.39.47552 > 10.108.90.237.8080: P 1:155(154) ack 1 win 229 <nop,nop,timestamp 7589177 1355739116>
20:12:32.066192 IP 10.108.90.237.8080 > 10.18.65.39.47552: . ack 155 win 122 <nop,nop,timestamp 1355739287 7589177>
20:12:32.095820 IP 10.108.90.237.8080 > 10.18.65.39.47552: P 1:1192(1191) ack 155 win 122 <nop,nop,timestamp 1355739316 7589177>
20:12:32.096437 IP 10.18.65.39.47552 > 10.108.90.237.8080: . ack 1192 win 251 <nop,nop,timestamp 7589184 1355739316>
20:12:32.114039 IP 10.18.65.39.47552 > 10.108.90.237.8080: P 155:230(75) ack 1192 win 251 <nop,nop,timestamp 7589189 1355739316>
20:12:32.114100 IP 10.18.65.39.47552 > 10.108.90.237.8080: P 230:236(6) ack 1192 win 251 <nop,nop,timestamp 7589189 1355739316>
20:12:32.114124 IP 10.18.65.39.47552 > 10.108.90.237.8080: P 236:289(53) ack 1192 win 251 <nop,nop,timestamp 7589189 1355739316>
20:12:32.114572 IP 10.108.90.237.8080 > 10.18.65.39.47552: . ack 289 win 122 <nop,nop,timestamp 1355739335 7589189>
20:12:32.124198 IP 10.108.90.237.8080 > 10.18.65.39.47552: P 1192:1198(6) ack 289 win 122 <nop,nop,timestamp 1355739345 7589189>
20:12:32.161404 IP 10.18.65.39.47552 > 10.108.90.237.8080: . ack 1198 win 251 <nop,nop,timestamp 7589201 1355739345>
20:12:32.161459 IP 10.108.90.237.8080 > 10.18.65.39.47552: P 1198:1251(53) ack 289 win 122 <nop,nop,timestamp 1355739382 7589201>
20:12:32.161926 IP 10.18.65.39.47552 > 10.108.90.237.8080: . ack 1251 win 251 <nop,nop,timestamp 7589201 1355739382>
20:12:32.163208 IP 10.18.65.39.47552 > 10.108.90.237.8080: P 289:406(117) ack 1251 win 251 <nop,nop,timestamp 7589201 1355739382>
20:12:32.171213 IP 10.108.90.237.8080 > 10.18.65.39.47552: P 1251:1336(85) ack 406 win 122 <nop,nop,timestamp 1355739392 7589201>
20:12:32.186214 IP 10.18.65.39.47552 > 10.108.90.237.8080: P 406:752(346) ack 1336 win 251 <nop,nop,timestamp 7589207 1355739392>
20:12:32.226172 IP 10.108.90.237.8080 > 10.18.65.39.47552: . ack 752 win 130 <nop,nop,timestamp 1355739447 7589207>
20:12:32.228869 IP 10.108.90.237.8080 > 10.18.65.39.47552: P 1336:1554(218) ack 752 win 130 <nop,nop,timestamp 1355739449 7589207>
20:12:32.232552 IP 10.18.65.39.47552 > 10.108.90.237.8080: P 752:789(37) ack 1554 win 270 <nop,nop,timestamp 7589218 1355739449>
20:12:32.232613 IP 10.108.90.237.8080 > 10.18.65.39.47552: . ack 789 win 130 <nop,nop,timestamp 1355739453 7589218>
20:12:32.232795 IP 10.18.65.39.47552 > 10.108.90.237.8080: F 789:789(0) ack 1554 win 270 <nop,nop,timestamp 7589218 1355739449>
20:12:32.233915 IP 10.108.90.237.8080 > 10.18.65.39.47552: P 1554:1591(37) ack 790 win 130 <nop,nop,timestamp 1355739454 7589218>
20:12:32.234091 IP 10.108.90.237.8080 > 10.18.65.39.47552: F 1591:1591(0) ack 790 win 130 <nop,nop,timestamp 1355739454 7589218>
20:12:32.234515 IP 10.18.65.39.47552 > 10.108.90.237.8080: R 1674805095:1674805095(0) win 0
20:12:32.234594 IP 10.18.65.39.47552 > 10.108.90.237.8080: R 1674805095:1674805095(0) win 0

怪事。 如果客户端不调用socket.close(),在客户端java进程结束的时候, 却是以正常的fin/ack结束连接。

(全文完)

用openssl生成SSL使用的私钥和证书,并自己做CA签名

本文记叙的是一次基于SSL的socket通讯程序开发中,有关证书,签名,身份验证相关的步骤。 我们的场景下,socket服务端是java语言编写的,客户端是c语言。使用了一个叫做matrixssl的c语言库。自己做CA签名,不等同于“自签名”。 自签名的情况,RSA的公钥私钥只有一对,用私钥对公钥证书做签名。而我们的场景是,自己做CA,有一个CA的公钥私钥对。 而socket的服务端也有一个公钥私钥对。 用CA的私钥对socket服务端的公钥证书做签名。

具体的操作步骤如下:

生成CA的私钥key:

openssl genrsa -out ca.key 1024

(这里我们没有用des3加密。 可以增加一个-des3参数加密,详情可以man genrsa)

生成CA的证书文件:

openssl req -new -x509 -days 36500 -key ca.key -out ca.crt

(这一步的时候需要在提示之下输入许多信息,包括国家代码,省份,城市,公司机构名等)

生成server端的私钥key:

openssl genrsa -out server.key 1024

生成server端的req文件(这一步生成的req文件,包含公钥证书,外加身份信息,例如国家,省份,公司等。用它提交给ca,让ca来对它做签名 ):

openssl req -new -key server.key -out server.csr

用CA的私钥对server的req文件做签名,得到server的证书:

openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

(注:如果第一次使用openssl,报告一些相关的文件找不到之类的错误,可能需要先执行2个命令:touch /etc/pki/CA/index.txt 和 echo ’01’ > /etc/pki/CA/serial)

继续阅读“用openssl生成SSL使用的私钥和证书,并自己做CA签名”