ssl - Erlang ssl:私钥的密码选项
问题描述
语境
使用 Elixir 和Brod(依赖于 Erlang 的ssl
模块),我正在尝试连接到启用 SSL 的 Kafka 代理。当且仅当客户端证书的私钥不受密码保护时,此方法才有效。
证书是使用创建的openssl
:
$ openssl req -newkey rsa:2048 -sha256 -passout pass:test1234 -keyout client.key -out client.csr -days $DAYS -subj "$SUBJ"
$ openssl x509 -req -CA ca.crt -CAkey ca.key -in client.csr -out client.crt -days $DAYS -CAserial ca.sr
我验证密码是使用openssl rsa -noout -text -in certs/client.key
.
之后,client.key
看起来像这样:
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIFHzBJBgkqhkiG9w0BBQ0wPDAbBgkqhkiG9w0BBQwwDgQIttCU1ZmyY2ACAggA
...
6C/BxoJnc6SQODqj+eiZHsCTKQ==
-----END ENCRYPTED PRIVATE KEY-----
..我想是PEM格式,适合Erlang的ssl
模块。
配置
Brod 将 SSL 选项传递给 Erlang 的ssl:connect
. 我正在传递这些选项(Elixir 语法):
[
certfile: "client.crt",
keyfile: "client.key",
password: String.to_charlist("test1234"),
cacertfile: "ca.crt"
]
错误信息
** (stop) {{{:failed_to_upgrade_to_ssl, {:keyfile, :function_clause}}, [{:brod_sock, :maybe_upgrade_to_ssl, 4, [file: 'src/brod_sock.erl', line: 278]}, {:brod_sock, :do_init, 4, [file: 'src/brod_sock.erl', line: 204]}, {:brod_sock, :init, 5, [file: 'src/brod_sock.erl', line: 176]}, {:proc_lib, :init_p_do_apply, 3, [file: 'proc_lib.erl', line: 247]}]}, [localhost: 9193]}
(brod) src/brod_client.erl:708: :brod_client.start_metadata_socket/5
(brod) src/brod_client.erl:301: :brod_client.handle_info/2
(stdlib) gen_server.erl:616: :gen_server.try_dispatch/4
(stdlib) gen_server.erl:686: :gen_server.handle_msg/6
(stdlib) proc_lib.erl:247: :proc_lib.init_p_do_apply/3
根据Internet,此错误意味着无法解析/加载/使用私钥文件。我试过使用错误的密码,它是完全相同的信息。如上所述,当使用不受密码保护的密钥时,它可以正常工作。
想法
- 的格式有问题吗
client.key
? - 我必须以其他方式指定密码吗?
目前正在研究 OTP 来源,但到目前为止还没有运气。
解决方案
我有类似的问题。原来,私钥是使用 编码的AES-256-CBC
,但是public_key
Erlang/OTP 中的库不支持它。这是失败的函数调用:
** exception error: no function clause matching pubkey_pbe:decode(...,
"password","AES-256-CBC", ...) (pubkey_pbe.erl, line 59)
in function public_key:do_pem_entry_decode/2 (public_key.erl, line 976)
Erlang/OTP 中的实际代码在github 上,我们可以看到“AES-256-CBC”没有被处理。
推荐阅读
- javascript - 如何在没有更新版本的情况下更新 js 和 css 文件?
- r - 调节一个while循环(2个条件)
- r - tidytext 入门的一些帮助
- python - list' 对象不能被解释为 RandomForest 代码中的整数
- mysql - WPDB 在一个特定字段中插入 0
- typescript - 在 vscode 中配置自动导入
- swift - NSDocument 数据:使用 NSPrintInfo 时的 ofType 实现(存储多个项目)
- typescript - 如何在打字稿中获取字符串枚举的键
- python - 如何创建分组线图
- php - 通过父构造函数冒泡动态数据的方法是什么?