然而,这条特定的线可能会导致这个问题.它使用TLSv1.
/* ---------------------------------------------------------- * * Set SSLv2 client hello,also announce SSLv3 and TLSv1 * * ---------------------------------------------------------- */ method = SSLv23_client_method();
尝试了TLSv1_2_client_method()方法,但它给出了以下链接错误:
Undefined symbols for architecture x86_64: “_TLSv1_2_client_method”,
referenced from:
_main in sslconnect-7aa462.o
解决方法
Tried TLSv1_2_client_method() method,but it gives below linking
error:Undefined symbols for architecture x86_64: “_TLSv1_2_client_method”,referenced from:
_main in sslconnect-7aa462.o
好吧,这听起来像是在链接x86_64,但你需要iOS.您可以使用以下两个命令验证体系结构:
xcrun -sdk iphoneos lipo -info libcrypto.a xcrun -sdk iphoneos lipo -info libssl.a
例如:
$xcrun -sdk iphoneos lipo -info /usr/local/ssl/ios/lib/libcrypto.a Architectures in the fat file: /usr/local/ssl/ios/lib/libcrypto.a are: armv7 armv7s arm64 i386
前三个架构是自我解释的;而i386适用于iOS调试器.
注意:/usr/local/ssl / ios /是我在构建之后安装OpenSSL for iOS的地方. Apple没有提供它.
如果您没有四种iOS体系结构,那么您有两种选择.首先,您可以基于User Guide for the OpenSSL FIPS Object Module,附录E.2,第122页中的iOS过程进行构建.
其次是从GitHub下载预建版本.这是使用OpenSSL程序构建的OpenSSL 1.0.1h的noloader GitHub.这是另一个从Stefan Arentz开始的,它似乎很受欢迎,但它的OpenSSL 1.0.1g.
and then calling from the objective C
C与Objective C一起工作正常.调用它没有什么特别之处.
…supports SNI for an iPhone application
在客户端上,您需要使用SSL_set_tlsext_host_name设置服务器名称.
在服务器上,因为你处理回调而更加复杂.有关示例,请参阅Serving multiple domains in one box with SNI.
method = SSLv23_client_method();
… Tried TLSv1_2_client_method() method
理想情况下,您需要执行以下操作:
SSL_library_init(); SSL_load_error_strings(); const SSL_METHOD* method = SSLv23_method(); if(NULL == method) handleFailure(); SSL_CTX* ctx = SSL_CTX_new(method); if(ctx == NULL) handleFailure(); /* Cannot fail ??? */ const long flags = SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3 | SSL_OP_NO_COMPRESSION; SSL_CTX_set_options(ctx,flags); ...
SSLv23_method可以获得SSLv2及更高版本.然后删除你不想要的东西,比如SSLv2,SSLv3和压缩.这使您获得TLS 1.0及更高版本(TLS 1.3即将到来,因此您无需更改源代码即可获得).您将获得服务器支持的最高协议(例如,TLS 1.2).
另一方面,这将只给你TLS 1.2:
SSL_library_init(); SSL_load_error_strings(); const SSL_METHOD* method = TLSv1_2_client_method(); if(NULL == method) handleFailure();
这意味着您将无法连接到运行TLS 1.0的服务器(与许多IIS服务器一样).如果您使用ECC连接到Google服务器,则需要确保禁用压缩.否则,您将失败,因为谷歌有一个奇怪的要求,即在使用带有ECC的TLS 1.2时必须禁用压缩.
如果您的评论:
/* ---------------------------------------------------------- * * Set SSLv2 client hello,also announce SSLv3 and TLSv1 * * ---------------------------------------------------------- */
你会使用以下,但我不推荐它:
long flags = SSL_OP_NO_SSLv2 | SSL_OP_NO_TLS1_1 | SSL_OP_NO_TLS1_2;
我不推荐它,因为它禁用了TLS 1.2和TLS 1.1;它启用SSLv3. 2014年没有SSLv3的理由.
请务必使用SSL_CTX_set_cipher_list设置密码套件.选择你最喜欢的16个左右,忽略其余部分.对于它上面的文档(以及DHE-RSA-AES256-SHA等密码套件的名称),请参阅SSL_CTX_set_cipher_list(3)
和ciphers(1)
.
选择16个左右的密码套件可实现两个目标.首先,它确保您得到您想要的.其次,它确保像F5或IronPort这样的旧设备不会窒息.较旧的设备使用固定大小的缓冲区,并且该缓冲区对于具有80个密码套件的ClientHello而言太小.如果有16或20个密码套件,则ClientHello通过.
最后一条评论……
1.1.0之前的OpenSSL不执行主机名匹配.但是,它确实执行其他常规检查.因此,如果您使用1.0.2或更低版本,则必须执行主机名匹配.有关检查的信息,请参阅OpenSSL wiki上的SSL/TLS Client.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。