4

我正在尝试使用带有 SSL / TLS 的 PHP 套接字创建服务器和客户端。但是,当向服务器发送数据时,我收到以下错误:

PHP 警告:stream_socket_accept(): SSL_R_NO_SHARED_CIPHER:无法使用合适的共享密码。这可能是因为服务器在第 32 行的 server.php 中缺少 SSL 证书(local_cert 上下文选项)

我查看了其他示例并尝试了各种更改,但均无济于事。任何帮助都将不胜感激。

客户端.php

<?php

$host = '192.168.10.10';
$port = 8080;
$timeout = 30;
$cert = 'assets/cert.pem';

$context = stream_context_create(
    [ 'ssl'=> [ 'local_cert'=> $cert, "crypto_method" => STREAM_CRYPTO_METHOD_TLS_CLIENT ] ]
);

stream_context_set_option($context, 'ssl', 'allow_self_signed', true);
stream_context_set_option($context, 'ssl', 'verify_peer', false);
stream_context_set_option($context, 'ssl', 'verify_peer_name', false);

if ($socket = stream_socket_client( 'tls://'.$host.':'.$port, $errno, $errstr, 30, STREAM_CLIENT_CONNECT, $context) ) {
    $meta = stream_get_meta_data($socket);

    print_r( $meta );

    fwrite($socket, "Hello, World!\n");
    echo stream_socket_recvfrom($socket,8192);
    fclose($socket);
} else {
   echo "ERROR: $errno - $errstr\n";
}

服务器.php

<?php

// Set the ip and port we will listen on
$address = '192.168.10.10';
$port = 8080;

$cert = 'assets/cert.pem';

$context = stream_context_create();

stream_context_set_option($context, 'ssl', 'local_cert', $cert);
stream_context_set_option($context, 'ssl', 'crypto_method', STREAM_CRYPTO_METHOD_TLS_SERVER);

stream_context_set_option($context, 'ssl', 'allow_self_signed', true);
stream_context_set_option($context, 'ssl', 'verify_peer', false);
stream_context_set_option($context, 'ssl', 'verify_peer_name', false);

$server = stream_socket_server('tls://'.$address.':'.$port, $errno, $errstr, STREAM_SERVER_BIND|STREAM_SERVER_LISTEN, $context);

// Display server start time
echo "PHP Socket Server started at " . $address . " " . $port . ", at ". date( 'Y-m-d H:i:s' ) ."\n";

// loop and listen
while (true) {
    /* Accept incoming requests and handle them as child processes */
    $client = stream_socket_accept($server);

    $ip = stream_socket_get_name( $client, true );

    echo "New connection from " . $ip;

    stream_set_blocking($client, true); // block the connection until SSL is done
    stream_socket_enable_crypto($client, true, STREAM_CRYPTO_METHOD_TLS_SERVER);

    // Read the input from the client – 1024 bytes
    $input = fread($client, 1024);

    // unblock connection
    stream_set_blocking($client, false);

    // Strip all white spaces from input
    $output = preg_replace("[ \t\n\r]", "", $input) . "\0";

    $new = $input;

    // Display Date, IP and Msg received
    echo date( 'Y-m-d H:i:s' ) . " | " . $ip . ": \033[0;32m" . $input . "\033[0m" . PHP_EOL;

    fclose($client);
}

// Close the master sockets
socket_close($sock);
4

3 回答 3

3

事实证明,该问题与 OpenSSL 和可用的传输流有关。该问题已通过以下方式解决:

  • 将 OpenSSL 更新到最新版本(1.0.2k, 以支持 TLS v1.2)
  • 重新编译 PHP 以启用 tlsv1.2 传输流

  • 更新代码以tlsv1.2://用作服务器和客户端上的协议,例如

    $server = stream_socket_server('tlsv1.2://'.$address.':'.$port, $errno, 
  $errstr, STREAM_SERVER_BIND|STREAM_SERVER_LISTEN, $context);


    $socket = stream_socket_client( 'tlsv1.2://'.$host.':'.$port, $errno,
  $errstr, 30, STREAM_CLIENT_CONNECT, $context)

一旦传输流更新到 TLSv1.2,就不需要密码选项,并且脚本成功地协商了 TLS 连接。

于 2017-06-12T09:18:33.477 回答
1

我遇到了类似的问题。但是我的证书和私钥在单独的文件中。根据 PHP 文档,您应该能够单独加载私钥:

stream_context_set_option($context, 'ssl', 'local_cert', '/etc/apache2/ssl/public_crt.cert');
stream_context_set_option($context, 'ssl', 'local_pk', '/etc/apache2/ssl/private_key.pem');

结果这对我不起作用,导致原始帖子中出现相同的错误消息。将证书和密钥组合在一个文件中就可以了:

cat public_crt.cert private_key.pem > combined_cert.pem

并在 PHP 中设置新的组合证书,使事情变得有效:

stream_context_set_option($context, 'ssl', 'local_cert', '/etc/apache2/ssl/combined_cert.pem');
于 2018-02-15T20:00:37.200 回答
0

PHP 在 SSL 方面存在可悲的问题。更糟糕的是,它们依赖于操作系统,大多数修复都是针对 REHL 的。我正在为您提供示例完整代码和其他指南。他们可能会帮助你。为了避免这些错误,通常使用这个库。这并不总是实用的。

第 32 行应该是这样的:

stream_set_blocking($client, true); // block the connection until SSL is done

这是PHP 手册上的流阻塞文档,也请阅读此内容这是在 PHP 中使用 SSL 的一个很好的指南,这里是client-server 的示例。可以以这种方式添加密码:

$context = stream_context_create(
    [
        'ssl' => [
            'ciphers' => 'DHE-RSA-AES256-SHA:LONG-CIPHER',
        ],
    ]
);
于 2017-06-11T21:42:05.533 回答