上述代码中SSL_connect函数是最重要的,它内部实现了SSL的握手过程 , openssl在内部采用状态机的方式实现了整个握手,代码还是相当的晦涩 。几乎所有的SSL通信失败都是在握手阶段产生的,比如加密套件不匹配 , 服务器证书没有可靠的签名等 。
openssl中有个s_client命令集合 , 该命令用于实现客户端的通信 , 它的实现在s_client.c文件中,在这个庞大代码中有一个不起眼的函数调用,这个函数是SSL_set_tlsext_host_name 。该函数的作用是在客户端在发送ClientHello消息时 , 将所访问的主机(服务器)名称写入到server name的扩展字段中 。
if (!noservername && (servername != NULL || dane_tlsa_domain == NULL)) { if (servername == NULL) { if(host == NULL || is_dNS_name(host)) servername = (host == NULL) ? "localhost" : host; } if (servername != NULL && !SSL_set_tlsext_host_name(con, servername)) { BIO_printf(bio_err, "Unable to set TLS servername extension.\n"); ERR_print_errors(bio_err); goto end; } }调用该函数后会在ClientHello的扩展字段中增加一个Server Name字段 。如下图所示:
文章插图
我们在客户端编程时,通常不会调用该函数,因为会觉得该字段可有可无 , 既然已经连接到Host服务器上,为何还要将Host的名称告诉给服务器呢?如果我们不调用SSL_set_tlsext_host_name 函数,难道SSL会话会失败么?实际上即使不调用该函数,也是可以握手成功的 , 并不影响TLS的正常通信 。
但如果服务器强制校验该字段时,就会导致握手失败,这就好比HTTP协议中请求的HOST字段一样 。那么为什么有的服务器要强制校验该字段呢?如果一台服务器绑定不同的DSN名称(也就是一个IP地址绑定多个域名) , 这个扩展字段的意义就出来了,服务器会根据不同的域名提供不同的证书 。
举个例子 , 假设BAT都破产了,他们穷到共用一台服务器的地步,也就是一个IP地址绑定了百度、阿里和腾讯三个公司域名,并且这三家公司都给域名申请了数字证书,此时扩展字段的HOST的作用就体现出来了 , openssl服务器端会跟据不同的host名称决定返回哪家公司的数字证书 。这也是Ngnix反向代理的原理,根据不同域名进行不同访问地址映射 。
写到这里,本文也即将结束,也许我们调用了SSL_set_tlsext_host_name函数也无法知道它的最终目的是什么,这也是我写这篇文章的原因之一吧 。
来源:https://www.cnblogs.com/softlee/p/16416574.html
推荐阅读
- 东莞春节习俗,东莞大朗镇习俗:男方爷死后就规定要100日内结婚不过不可以摆酒或者3年之后才可以结婚是不是有这个习俗
- 《西游记后传》出续集,黑子再演无天佛祖,唐僧师徒四人亮相
- 固态硬盘格式化后还能恢复数据么 固态硬盘格式化后数据还可以恢复吗
- 章子怡晒3位世界级影后同框,带女儿见偶像大魔王,8岁醒醒不怯场
- 过儿29年后和姑姑再同框!李若彤还是那么美 而过儿脸却科技感十足
- 30岁彭昱畅暴瘦后续!自曝患上了急性疾病,病倒后体重就保不住了
- 炒菜猪肉用前尖还是后尖,炒菜用猪肉的前臀尖还是后臀尖
- 068后桥是多少吨的
- 成年德牧换主有危险,泰迪狗换主人后的表现
- 评分较高的10部谍战剧,有的开播就爆,有的查无此人,最后一部意想不到