Сокеты PHP с SSL/TLS - не может быть использован подходящий общий шифр

Я пытаюсь создать сервер и клиент, используя PHP-сокеты с SSL/TLS. Однако при отправке данных на сервер я получаю следующую ошибку:

Предупреждение PHP: stream_socket_accept(): SSL_R_NO_SHARED_CIPHER: не удалось использовать подходящий общий шифр. Это может быть связано с тем, что на сервере отсутствует SSL-сертификат (параметр контекста local_cert) в server.php в строке 32

Я просмотрел другие примеры и попробовал различные изменения, но безрезультатно. Любая помощь может быть очень признательна.

Client.php

<?php

$host = '192.168.10.10';
$port = 8080;
$timeout = 30;
$cert = 'assets/cert.pem';

$context = stream_context_create(
    [ 'ssl'=> [ 'local_cert'=> $cert, "crypto_method" => STREAM_CRYPTO_METHOD_TLS_CLIENT ] ]
);

stream_context_set_option($context, 'ssl', 'allow_self_signed', true);
stream_context_set_option($context, 'ssl', 'verify_peer', false);
stream_context_set_option($context, 'ssl', 'verify_peer_name', false);

if ($socket = stream_socket_client( 'tls://'.$host.':'.$port, $errno, $errstr, 30, STREAM_CLIENT_CONNECT, $context) ) {
    $meta = stream_get_meta_data($socket);

    print_r( $meta );

    fwrite($socket, "Hello, World!\n");
    echo stream_socket_recvfrom($socket,8192);
    fclose($socket);
} else {
   echo "ERROR: $errno - $errstr\n";
}

Server.php

<?php

// Set the ip and port we will listen on
$address = '192.168.10.10';
$port = 8080;

$cert = 'assets/cert.pem';

$context = stream_context_create();

stream_context_set_option($context, 'ssl', 'local_cert', $cert);
stream_context_set_option($context, 'ssl', 'crypto_method', STREAM_CRYPTO_METHOD_TLS_SERVER);

stream_context_set_option($context, 'ssl', 'allow_self_signed', true);
stream_context_set_option($context, 'ssl', 'verify_peer', false);
stream_context_set_option($context, 'ssl', 'verify_peer_name', false);

$server = stream_socket_server('tls://'.$address.':'.$port, $errno, $errstr, STREAM_SERVER_BIND|STREAM_SERVER_LISTEN, $context);

// Display server start time
echo "PHP Socket Server started at " . $address . " " . $port . ", at ". date( 'Y-m-d H:i:s' ) ."\n";

// loop and listen
while (true) {
    /* Accept incoming requests and handle them as child processes */
    $client = stream_socket_accept($server);

    $ip = stream_socket_get_name( $client, true );

    echo "New connection from " . $ip;

    stream_set_blocking($client, true); // block the connection until SSL is done
    stream_socket_enable_crypto($client, true, STREAM_CRYPTO_METHOD_TLS_SERVER);

    // Read the input from the client – 1024 bytes
    $input = fread($client, 1024);

    // unblock connection
    stream_set_blocking($client, false);

    // Strip all white spaces from input
    $output = preg_replace("[ \t\n\r]", "", $input) . "\0";

    $new = $input;

    // Display Date, IP and Msg received
    echo date( 'Y-m-d H:i:s' ) . " | " . $ip . ": \033[0;32m" . $input . "\033[0m" . PHP_EOL;

    fclose($client);
}

// Close the master sockets
socket_close($sock);
Author: Niraj Shah, 2017-06-01
Source

3 answers

Оказывается, проблема была связана с OpenSSL и доступными транспортными потоками. Проблема была решена путем:

  • Обновление OpenSSL до последней версии (1.0.2k, для поддержки TLS версии 1.2)
  • Перекомпиляция PHP для включения транспортного потока tlsv1.2

  • Обновление кода для использования tlsv1.2:// в качестве протокола как на сервере, так и на клиенте, например

    $server = stream_socket_server('tlsv1.2://'.$address.':'.$port, $errno, 
  $errstr, STREAM_SERVER_BIND|STREAM_SERVER_LISTEN, $context);

    И 

    $socket = stream_socket_client( 'tlsv1.2://'.$host.':'.$port, $errno,
  $errstr, 30, STREAM_CLIENT_CONNECT, $context)

Как только транспортный поток был обновлен до TLSv1.2, необходимость в этом отпала для параметра шифра, и сценарии успешно согласовали соединение TLS.

 1
Author: Niraj Shah, 2017-06-12 09:18:33

У меня были похожие проблемы. Однако мой сертификат и закрытый ключ находились в отдельных файлах. Согласно документации PHP, вы должны иметь возможность загружать закрытый ключ отдельно:

stream_context_set_option($context, 'ssl', 'local_cert', '/etc/apache2/ssl/public_crt.cert');
stream_context_set_option($context, 'ssl', 'local_pk', '/etc/apache2/ssl/private_key.pem');

Оказывается, это не сработало для меня, что привело к тому же сообщению об ошибке в исходном сообщении. Объединение сертификата и ключа в одном файле сделало свое дело:

cat public_crt.cert private_key.pem > combined_cert.pem

И установив новый сертификат combo в PHP, заставил эту штуку работать:

stream_context_set_option($context, 'ssl', 'local_cert', '/etc/apache2/ssl/combined_cert.pem');
 1
Author: Guruniverse, 2018-02-15 20:00:37

У PHP есть жалкие проблемы с SSL. В худшем случае они зависят от операционной системы, большинство исправлений предназначены для REHL. Я предоставляю вам образец полного кода и другие руководства. Возможно, они вам помогут. Чтобы избежать этих ошибок, эта библиотека обычно используется . Это не всегда практично.

Строка 32 должна быть такой: 

stream_set_blocking($client, true); // block the connection until SSL is done

Вот документ о блокировке потока в руководстве по PHP, также прочитайте это . Вот хорошее руководство по использованию SSL с PHP, вот пример клиент-сервер. Шифр может быть добавлен следующим образом:

$context = stream_context_create(
    [
        'ssl' => [
            'ciphers' => 'DHE-RSA-AES256-SHA:LONG-CIPHER',
        ],
    ]
);
 0
Author: Abhishek Ghosh, 2017-06-11 21:42:05