3 个 PSK 问题

PSK 包含奇数个十六进制数字

Proxy 或 agent 无法启动,在 proxy 或 agent 日志中的消息:

file 中的无效 PSK "/home/zabbix/zabbix_proxy.psk"

传递给 GnuTLS 的 PSK 标识 string 超过 128 字节

在TLS客户端日志中:

gnutls_handshake() failed: -110 The TLS connection was non-properly terminated.

在TLS服务器端日志中。

gnutls_handshake() 失败:-90 提供的SRP用户名非法。

OpenSSL 1.1.1 使用的 PSK 值过长

连接端日志中:

...OpenSSL library (version OpenSSL 1.1.1  11 Sep 2018) initialized
       ...
       ...In zbx_tls_connect(): psk_identity:"PSK 1"
       ...zbx_psk_client_cb() requested PSK identity "PSK 1"
       ...End of zbx_tls_connect():FAIL error:'SSL_connect() set result code to SSL_ERROR_SSL: file ssl\statem\extensions_clnt.c line 801: error:14212044:SSL routines:tls_construct_ctos_early_data:internal error: TLS write fatal alert "internal error"'

接收端日志中:

...Message from 123.123.123.123 is missing header. Message ignored.

该问题通常出现在从OpenSSL 1.0.x或1.1.0升级至1.1.1版本时,且PSK值长度超过512位(64字节PSK,以128位十六进制数字输入)的情况下。

另请参阅:大小限制