Openssl SSL_CTX_new(SSLv3_method()) 返回 NULL

Question

Linux 版本来自cat /proc/version

Linux 版本 3.6.11-4.fc16.i686 (mockbuild@bkernel02) (gcc 版本 4.6.3 20120306 (Red Hat 4.6.3-2) (GCC))

来自openssl version 命令：

OpenSSL 1.0.1g 2014 年 4 月 7 日

首先，我使用带有 cURL 的 REST API 执行 HTTP 请求，以从服务器（线程 1）获取一些配置。然后我创建一个 TLS 通道并通过该通道（线程 2）登录到 XMPP 服务器。然后我尝试通过创建 TLS 通道（Thread3）登录到 SIP 服务器。但是 TLS 通道创建失败并出现此错误：

错误：140A90F1：SSL 例程：SSL_CTX_new：无法加载 ssl2 md5 例程

SSL_library_init();
SSL_load_error_strings();
SSL_CTX* sslContext = SSL_CTX_new(SSLv3_method());

这里sslContext 为NULL。我在网上看到了大量关于此错误的错误报告和邮件，但没有任何解决方案。我不知道它是否与 cURL 有关，但在很多情况下，人们在使用 cURL 时都会遇到这个问题。

查看以下链接，了解其他人关于此错误的帖子。

https://issues.apache.org/bugzilla/show_bug.cgi?id=56027

http://comments.gmane.org/gmane.comp.lib.boost.asio.user/2099

http://en.it-usenet.org/thread/17225/526/

http://curl.haxx.se/mail/curlphp-2009-01/0020.html

编辑：

注释第一条命令的输出：

# openssl version -a                                                           
OpenSSL 1.0.1g 7 Apr 2014                                                      
built on: Tue Aug 12 10:07:53 BDT 2014                                         
platform: linux-generic32                                                      
options:  bn(64,32) rc4(ptr,char) des(idx,cisc,16,long) blowfish(ptr)          
compiler: /home/moshiur/Documents/Workspace/ph_SDKs/Untitled_Folder/ph
OPENSSLDIR: "/etc/ssl"


# ls /etc/ssl/                                                                 
certs        misc         openssl.cnf  private

Answer 1

Openssl SSL_CTX_new(SSLv3_method()) 返回 NULL

呼叫：

• OpenSSL_add_ssl_algorithms
• SSL_load_error_strings

请参阅 OpenSSL wiki 上的 Library Initialization。来自维基：

如果你初始化库失败，那么你会遇到 无法解释的错误，如 SSL_CTX_new 返回 NULL 和警报 没有共享密码的握手失败。

---

错误：140A90F1：SSL 例程：SSL_CTX_new：无法加载 ssl2 md5 例程

听起来库配置了no-ssl2 和no-md5。这是 FIPS 配置吗？

配置定义在几个地方可用。首先，您可以检查（有时会显示定义）：

$ /usr/local/ssl/macosx-x64/bin/openssl version -a
OpenSSL 1.0.1i 6 Aug 2014
built on: Wed Aug  6 18:45:03 EDT 2014
platform: darwin64-x86_64-cc
options:  bn(64,64) rc4(ptr,char) des(idx,cisc,16,int) idea(int) blowfish(idx) 
compiler: cc -fPIC -fno-common -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN 
  -DHAVE_DLFCN_H -arch x86_64 -O3 -DL_ENDIAN -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT 
  -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM 
  -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/local/ssl/macosx-x64"

其次，您可以使用opensslconf.h 进行运行时检查。例如，您可以通过OPENSSL_NO_SSL2 检查no-ssl2 配置选项（这些定义始终显示）：

$ cat /usr/local/ssl/macosx-x64/include/openssl/opensslconf.h | grep -A 1 -i SSL2
#ifndef OPENSSL_NO_SSL2
# define OPENSSL_NO_SSL2
#endif
--
# if defined(OPENSSL_NO_SSL2) && !defined(NO_SSL2)
#  define NO_SSL2
# endif

您可以在代码中使用这些来保护功能。例如：

#ifndef OPENSSL_NO_SSL2
  /* SSLv2 is available */
#endif