Qt и self-signed certificate

0

1

Собственно имеем https-сервер с self-signed certificate, который блокирует все не подписанные запросы посредством SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT. Проблема в том, что я не могу подключится из Qt к такому серверу. Со стандартными настройками openssl достаточно указать путь к сертификату

QSslSocket::addDefaultCaCertificates("key.pem");

Но как только добавляем флаги выше - Qt не может подключится.

Находил несколько решений, но они не работают и выглядят монструозно. Подозреваю что упускаю из вида какую-то мелочь.

Кто-то сталкивался с таким?

PS: Через curl тоже не получается, так что подозреваю что какой-то косяк с ключами или настройками openssl.

Ссылка

←	быстрый detect закрытия соединения

IOCTL

→

Наверно правильно подозреваешь. Сертификат клиента существует? Подключен? QSslSocket::setLocalCertificate() вероятно должен использоваться.

Elyas ★★★★★
(14.12.18 22:17:44 MSK)

Ответ на: комментарий от Elyas 14.12.18 22:17:44 MSK

Сделал так:

QFile privKey("key.pem");
privKey.open(QFile::ReadOnly);

QSslConfiguration sslConfig = QSslConfiguration::defaultConfiguration();
sslConfig.setPrivateKey(QSslKey(privKey.readAll(), QSsl::Rsa));
sslConfig.setLocalCertificate(QSslCertificate::fromPath("cert.pem").first());
QSslConfiguration::setDefaultConfiguration(sslConfig);

Получаю: SSL handshake failed

~~RazrFalcon~~ ★★★★★
(14.12.18 22:35:02 MSK) автор топика

Ссылка

Если через curl пробую, получаю: routines:ssl3_read_bytes:sslv3 alert handshake failure

~~RazrFalcon~~ ★★★★★
(14.12.18 23:25:43 MSK) автор топика

Ответ на: комментарий от RazrFalcon 14.12.18 23:25:43 MSK

Тебе определённо стоит разобраться с этим прежде, чем решать проблемы с Qt

XMs ★★★★★
(14.12.18 23:59:49 MSK)

Ссылка

Я бы рекомендовал:

1. Разобраться с селф-сигнед сертификатами, да. Пока curl обламывается, значит и сертификат косой, либо нет, либо не корректно сформирована подпись УЦ (в данном случае УЦ это мы сами, но от этого не легче). Пока curl не заработает, qt туда рано.

2. А в чём прикол с селф-сигнед? Вполне спокойно можно взять certbot (оно от EFF, бесплатно) и настроить его. Ну короткоживущие сертификаты, ну на 90 дней, но меняется всё автоматом и проблем вообще ноль. Ну, если конечно сеть, где используются эти сертификаты не изолированная наглухо.

~~Moisha_Liberman~~ ★★
(15.12.18 04:36:07 MSK)

Ссылка

Есть в Qt такая штука как ignoreSslErrors(). Злоупотреблять ей не следует и если у программы будут пользователи кроме тебя — хотя бы предупреждай их, прежде чем сертификат подтвердить.

Например, для работы с WebDAV в Qt-программах есть сторонняя библиотека

https://github.com/mhaller/qwebdavlib/

Она при возникновении проблем посылает прикладной программе сигнал checkSslCertifcate, и если та ошибку обработала - включает ignoreSslErrors().

hobbit ★★★★★
(15.12.18 22:35:27 MSK)
Последнее исправление: hobbit 15.12.18 22:36:14 MSK (всего исправлений: 1)

Ответ на: комментарий от hobbit 15.12.18 22:35:27 MSK

Про ignoreSslErrors знаю. Но меня сервер разворачивает. То есть запрос то не уходит.

~~RazrFalcon~~ ★★★★★
(15.12.18 22:46:09 MSK) автор топика

Ответ на: комментарий от RazrFalcon 15.12.18 22:46:09 MSK

Как сертификат делали?

Опишите пожалуйста?

~~Moisha_Liberman~~ ★★
(16.12.18 05:57:29 MSK)

Ответ на: Как сертификат делали? от Moisha_Liberman 16.12.18 05:57:29 MSK

openssl req -x509 -newkey rsa:4096 -nodes -sha256 -days 3650 -keyout key.pem -out cert.pem

~~RazrFalcon~~ ★★★★★
(16.12.18 10:15:52 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	быстрый detect закрытия соединения

Development

IOCTL

→

Я бы рекомендовал:

Как сертификат делали?

Похожие темы