IO::Socket::SSL verweigert sich (gelöst) (Fragen zu Perl-Modulen)

[thread]20467[/thread]

IO::Socket::SSL verweigert sich [gelöst]

Leser: 13

Articles: hide open all | hide show old branches

+12 replies
bianca

2018-05-28 08:36

User since
2009-09-13
7016 Artikel
BenutzerIn

[modedit] Splitted from [Crypt::LE] Frage zu request_certificate() msg #188377

Im Client Browser ist jetzt alles gut. ABER IO::Socket::SSL verweigert sich.

Debug:
Quote
DEBUG: .../IO/Socket/SSL.pm:2602: new ctx 39687152
DEBUG: .../IO/Socket/SSL.pm:542: socket not yet connected
DEBUG: .../IO/Socket/SSL.pm:544: socket connected
DEBUG: .../IO/Socket/SSL.pm:566: ssl handshake not started
DEBUG: .../IO/Socket/SSL.pm:599: using SNI with hostname meine.domain.net
DEBUG: .../IO/Socket/SSL.pm:634: request OCSP stapling
DEBUG: .../IO/Socket/SSL.pm:653: set socket to non-blocking to enforce timeout=180
DEBUG: .../IO/Socket/SSL.pm:667: Net::SSLeay::connect -> -1
DEBUG: .../IO/Socket/SSL.pm:677: ssl handshake in progress
DEBUG: .../IO/Socket/SSL.pm:687: waiting for fd to become ready: SSL wants a read first
DEBUG: .../IO/Socket/SSL.pm:707: socket ready, retrying connect
DEBUG: .../IO/Socket/SSL.pm:2505: did not get stapled OCSP response
DEBUG: .../IO/Socket/SSL.pm:2458: ok=0 cert=44929232
DEBUG: .../IO/Socket/SSL.pm:667: Net::SSLeay::connect -> -1
DEBUG: .../IO/Socket/SSL.pm:1791: SSL connect attempt failed

DEBUG: .../IO/Socket/SSL.pm:1796: SSL connect attempt failed error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
DEBUG: .../IO/Socket/SSL.pm:673: fatal SSL error: SSL connect attempt failed error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
DEBUG: .../IO/Socket/SSL.pm:1780: IO::Socket::IP configuration failed
DEBUG: .../IO/Socket/SSL.pm:2635: free ctx 39687152 open=39687152
DEBUG: .../IO/Socket/SSL.pm:2640: free ctx 39687152 callback
DEBUG: .../IO/Socket/SSL.pm:2647: OK free ctx 39687152

Gleiches Ergebnis, wenn ich als SSL_ca_file den neuesten Zertifikatsstapel von Mozilla::CA setze.

Habe mir auch den alten Thread [IO::Socket::SSL] Failed to use private key angeschaut aber ich bringe das nicht überein.
Was mache ich hier falsch?

Editiert von bianca: neuer Thread
Last edited: 2018-05-28 15:19:06 +0200 (CEST)
10 print "Hallo"
20 goto 10
- +2 replies
- GwenDragon
  
  2018-05-28 09:36
  User since
  2005-01-17
  14746 Artikel
  Admin1
  Hast du das Problem mit Crypt::LE oder benutzt du das nicht hier?
  Ich weiß ja nicht was du gerade machst.
  
  Mein Test:
  Strawberry Perl 5.24.3.1 32bit
  IO-Socket-SSL-2.056.tar.gz
  Net-SSLeay-1.85.tar.gz
  
  Code (perl): (dl )
  
  1 2 3 4 5 6 7 8 9 10 11 12
  
  #!/usr/bin/perl use strict; use warnings; use 5.024; use IO::Socket::SSL qw(debug4); IO::Socket::SSL->new( PeerAddr=>"gwendragon.de", PeerPort=>443, Proto=>"TCP", SSL_hostname => 'gwendragon.de' ) or die $!;
  
  Ergibt bei mir mit 5.24:
  
  Code: (dl )
  
  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
  
  T:\>perl a.pl DEBUG: .../IO/Socket/SSL.pm:2823: new ctx 44833392 DEBUG: .../IO/Socket/SSL.pm:675: socket not yet connected DEBUG: .../IO/Socket/SSL.pm:677: socket connected DEBUG: .../IO/Socket/SSL.pm:700: ssl handshake not started DEBUG: .../IO/Socket/SSL.pm:733: using SNI with hostname gwendragon.de DEBUG: .../IO/Socket/SSL.pm:768: request OCSP stapling DEBUG: .../IO/Socket/SSL.pm:802: call Net::SSLeay::connect DEBUG: .../IO/Socket/SSL.pm:2724: did not get stapled OCSP response DEBUG: .../IO/Socket/SSL.pm:2677: ok=1 [2] /O=Digital Signature Trust Co./CN=DST Root CA X3/O=Digital Signature Trust Co./CN=DST Root CA X3 DEBUG: .../IO/Socket/SSL.pm:2677: ok=1 [1] /O=Digital Signature Trust Co./CN=DST Root CA X3/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 DEBUG: .../IO/Socket/SSL.pm:2677: ok=1 [0] /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3/CN=gwendragon.de DEBUG: .../IO/Socket/SSL.pm:1741: scheme=default cert=58652336 DEBUG: .../IO/Socket/SSL.pm:1751: identity=gwendragon.de cn=gwendragon.de alt=2 gwendragon.de 2 www.gwendragon.de DEBUG: .../IO/Socket/SSL.pm:805: done Net::SSLeay::connect -> 1 DEBUG: .../IO/Socket/SSL.pm:860: ssl handshake done DEBUG: .../IO/Socket/SSL.pm:2845: free ctx 44833392 open=44833392 DEBUG: .../IO/Socket/SSL.pm:2849: free ctx 44833392 callback DEBUG: .../IO/Socket/SSL.pm:2856: OK free ctx 44833392
  
  Mit 5.20:
  
  Code: (dl )
  
  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
  
  PERL-5.20 T:\>perl a.pl DEBUG: .../IO/Socket/SSL.pm:2823: new ctx 49435656 DEBUG: .../IO/Socket/SSL.pm:675: socket not yet connected DEBUG: .../IO/Socket/SSL.pm:677: socket connected DEBUG: .../IO/Socket/SSL.pm:700: ssl handshake not started DEBUG: .../IO/Socket/SSL.pm:733: using SNI with hostname gwendragon.de DEBUG: .../IO/Socket/SSL.pm:768: request OCSP stapling DEBUG: .../IO/Socket/SSL.pm:802: call Net::SSLeay::connect DEBUG: .../IO/Socket/SSL.pm:2724: did not get stapled OCSP response DEBUG: .../IO/Socket/SSL.pm:2677: ok=1 [2] /O=Digital Signature Trust Co./CN=DST Root CA X3/O=Digital Signature Trust Co./CN=DST Root CA X3 DEBUG: .../IO/Socket/SSL.pm:2677: ok=1 [1] /O=Digital Signature Trust Co./CN=DST Root CA X3/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 DEBUG: .../IO/Socket/SSL.pm:2677: ok=1 [0] /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3/CN=gwendragon.de DEBUG: .../IO/Socket/SSL.pm:1741: scheme=default cert=57711216 DEBUG: .../IO/Socket/SSL.pm:1751: identity=gwendragon.de cn=gwendragon.de alt=2 gwendragon.de 2 www.gwendragon.de DEBUG: .../IO/Socket/SSL.pm:805: done Net::SSLeay::connect -> 1 DEBUG: .../IO/Socket/SSL.pm:860: ssl handshake done DEBUG: .../IO/Socket/SSL.pm:2845: free ctx 49435656 open=49435656 DEBUG: .../IO/Socket/SSL.pm:2849: free ctx 49435656 callback DEBUG: .../IO/Socket/SSL.pm:2856: OK free ctx 49435656
  
  Meine Idee (ohne Kaffee intus): Dein Server liefert nicht alle Zertifikate.
  Stichwort: SSLCertificateChainFile
  Hast du da diese drin (als PEM-Format)?
  - DST Root CA X3
  - Let's Encrypt Authority X3
  Last edited: 2018-05-28 09:45:56 +0200 (CEST)
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - bianca
    
    2018-05-28 12:24
    
    User since
    2009-09-13
    7016 Artikel
    BenutzerIn
    
    2018-05-28T07:36:47 GwenDragon
    oder benutzt du das nicht hier?
    Ich weiß ja nicht was du gerade machst.
    
    Ist ein einfacher GET Request mit LWP::UserAgent
    10 print "Hallo"
    20 goto 10
- +9 replies
- haj
  
  2018-05-28 10:07
  User since
  2015-01-07
  551 Artikel
  BenutzerIn
  Ich habe da schon eine Idee.
  
  Das Problem beginnt damit, dass Du nicht an die OCSP-Response des Servers kommst. IO::Socket::SSL verwendet dazu per Voreinstellung OCSP Stapling, was man also entweder dem Webserver beibiegen oder dem Perl-Program abgewöhnen muss. Denn beim Webserver ist es per Default aus-, bei IO::Socket::SSL per Default eingeschaltet.
  
  Links zum Thema:
  * https://letsencrypt.org/docs/integration-guide/ - Abschnitt "Implement OCSP Stapling"
  * Wikipedia zu OCSP Stapling
  * Apache Konfigurationsanweisung (ab 2.4)
  * Die Zeile zum Abschalten im Programm steht unten im Beispiel.
  
  BTW: Mein Test-Programm sieht so aus:
  
  Code (perl): (dl )
  
  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
  
  use strict; use warnings; use IO::Socket::SSL; $IO::Socket::SSL::DEBUG = 3; my $host = 'letsencrypt.org'; my $client = IO::Socket::SSL->new( # where to connect PeerHost => $host, PeerPort => "https", # -------- test this -------- SSL_ocsp_mode => SSL_OCSP_NO_STAPLE, # certificate verification - VERIFY_PEER is default SSL_verify_mode => SSL_VERIFY_PEER, ) or die "failed connect or ssl handshake: $!,$SSL_ERROR"; # send and receive over SSL connection print $client "GET / HTTP/1.0\r\n"; print $client "Host: $host\r\n\r\n"; print <$client>;
  - +2 replies
  - bianca
    
    2018-05-28 12:23
    
    User since
    2009-09-13
    7016 Artikel
    BenutzerIn
    
    Vielen Dank für den Hinweis!
    Ich würde es dem Server gern beibiegen.
    
    Dazu versuche ich folgendes:
    
    1. Gem. deiner verlinkten Anleitung in der httpd-ssl.conf die Zeile SSLUseStapling on ergänzt
    --> Fehlermeldung AH01958: SSLStapling: no stapling cache available
    
    2. In der httpd-ssl.conf die Zeile SSLStaplingCache "dbm:C:/Apache/SSL/ssl_cache(512000)" ergänzt
    --> Apache startet nicht, keine Fehlermeldung, alle logs leer.
    --> selbes Ergebnis bei der Schreibweise SSLStaplingCache "shmcb:C:/Apache/SSL/ssl_cache(512000)"
    Die Schreibweisen habe ich von How to configure OCSP Stapling on Apache 2.4 on Windows?
    
    3. Mein Apache meckert schon länger beim Start über AH01873: Init: Session Cache is not configured [hint: SSLSessionCache] was mich aber bisher nie gestört hat. Nun habe ich in dem wagen Verdacht eines Zusammenhangs mal versucht, dies erst zu lösen indem ich die Zeile SSLSessionCache "dbm:C:/Apache/SSL/session_cache" ergänzt habe
    --> Fehlermeldung SSLSessionCache: 'dbm' session cache not supported (known names: ). Maybe you need to load the appropriate socache module (mod_socache_dbm?).
    --> da im Ordner modules eine Datei namens mod_socache_dbm.so liegt habe ich in der httpd.conf die Zeile LoadModule xxx modules/mod_socache_dbm.so ergänzt (xxx weil ich nicht weiß was da hin muss)
    --> Apache startet nicht, keine Fehlermeldung, alle logs leer.
    --> selbes Ergebnis wenn ich die Load... Zeile in die httpd-ssl.conf setze
    
    Mir gehen jetzt auch die Suchbegriffe aus und ohne Fehlermeldung bin ich komplett aufgeschmissen.
    Kann mich da bitte nochmal einer zurecht schubsen oder mir ihre/seine SSL Config zeigen?
    10 print "Hallo"
    20 goto 10
    - bianca
      
      2018-05-28 12:35
      
      User since
      2009-09-13
      7016 Artikel
      BenutzerIn
      
      Zurück!
      Die drei Punkte sind gelöst. Hatte falsche Modulidentifier.
      10 print "Hallo"
      20 goto 10
  - +6 replies
  - bianca
    
    2018-05-28 13:05
    
    User since
    2009-09-13
    7016 Artikel
    BenutzerIn
    
    2018-05-28T08:07:26 haj
    IO::Socket::SSL verwendet dazu per Voreinstellung OCSP Stapling, was man also entweder dem Webserver beibiegen oder dem Perl-Program abgewöhnen muss.
    OK, laut Anleitung schaltet man das OCSP mittels SSLUseStapling on ein. Habe ich drin und Apache startet (inzwischen) fehlerfrei.
    
    Dann mache ich meinen Test Request, welcher wieder mit der bekannten Fehlermeldung scheitert.
    
    Dann starte ich Apache neu und dieser wirft dann etwas bis dato neues aus:
    
    Quote
    [Mon May 28 12:39:06 2018] [error] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: CN=meine.domain.net / issuer: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US / serial: XXXX3ADE244E52BXXXXFF8D9D635C709XXXX / notbefore: May 27 15:36:13 2018 GMT / notafter: Aug 25 15:36:13 2018 GMT]
    [Mon May 28 12:39:06 2018] [error] AH02604: Unable to configure certificate meine.domain.net:443:0 for stapling
    
    Was ich gelesen habe müsste ich jetzt die Variable SSLCertificateChainFile definieren aber wie komme ich an diese chain pem Datei heran?
    10 print "Hallo"
    20 goto 10
    - +5 replies
    - haj
      
      2018-05-28 13:42
      
      User since
      2015-01-07
      551 Artikel
      BenutzerIn
      
      Das wäre vermutlich auf https://letsencrypt.org/certificates/ zu finden, insbesondere Let’s Encrypt Authority X3 (IdenTrust cross-signed).
      
      Ich vermute, dass Apache auf Windows sich des Windows-Zertifikatsmanagers bedient, und das IdenTrust DST Root CA X3 finde ich in meinem Win10-Manager unter "Vertrauenswürdige Stammzertifizierungsstellen". Wenn Du das "IdenTrust cross-signed" Zertifikat als SSLCertificateChainFile einträgst, sollte es klappen. Oder die nächste Fehlermeldung kommen.
      
      Disclaimer: Mit Apache habe ich schon länger nichts mehr zu tun, und bei Apache auf Windows wird's bei mir echt dünn.
      - +4 replies
      - bianca
        
        2018-05-29 08:45
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        ES KLAPPT!!!!!!
        
        DANKE DANKE DANKE!!!!
        
        Kann ich dir was Gutes tun irgendwie?
        10 print "Hallo"
        20 goto 10
        
        +3 replies
        
        GwenDragon
        
        2018-05-29 09:32
        
        User since
        2005-01-17
        14746 Artikel
        Admin1
        
        Ich hatte dich übrigens im Thread über Cyrcpt::LE auf die Zertifikatskette angesprochen. Hast du wohl nicht damit in Zusammenhang gebracht oder nicht verstanden wofür eine Zertifikatskette verwendet wird.
        
        Hast es ja mit haj gelöst bekommen :)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +2 replies
        
        bianca
        
        2018-05-29 12:07
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2018-05-29T07:32:52 GwenDragon
        Ich hatte dich übrigens im Thread über Cyrcpt::LE auf die Zertifikatskette angesprochen.
        
        Wenn du msg #188450 meinst, da blieben meine Rückfragen in msg #188455 und msg #188457 leider unbeantwortet.
        
        Hast mir aber trotzdem sehr maßgeblich geholfen.
        Auch dir nochmal vielen Dank!
        
        Ich gebe 'ne Runde Eis aus!
        10 print "Hallo"
        20 goto 10
        
        GwenDragon
        
        2018-05-29 12:23
        
        User since
        2005-01-17
        14746 Artikel
        Admin1
        
        Oh, deine Antwort ist mir durchgerutscht.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten

View all threads created 2018-05-28 15:17.