3 个 PSK 问题

PSK 包含奇数个十六进制数字

Proxy 或 agent 无法启动，在 proxy 或 agent 日志中显示如下信息：

invalid PSK in file "/home/zabbix/zabbix_proxy.psk"

传递给 GnuTLS 的 PSK 标识 string 超过 128 字节

在 TLS 客户端日志中：

gnutls_handshake() 失败: -110 TLS 连接未正常终止。

在 TLS 服务端日志中：

gnutls_handshake() 失败: -90 提供的 SRP 用户名非法。

与 OpenSSL 1.1.1 一起使用了过长的 PSK 值

在连接端日志中：

...OpenSSL library (version OpenSSL 1.1.1  11 Sep 2018) initialized
...
...In zbx_tls_connect(): psk_identity:"PSK 1"
...zbx_psk_client_cb() requested PSK identity "PSK 1"
...End of zbx_tls_connect():FAIL error:'SSL_connect() set result code to SSL_ERROR_SSL: file ssl\statem\extensions_clnt.c line 801: error:14212044:SSL routines:tls_construct_ctos_early_data:internal error: TLS write fatal alert "internal error"'

在接受端日志中：

...Message from 123.123.123.123 is missing header. Message ignored.

此问题通常出现在将 OpenSSL 从 1.0.x 或 1.1.0 升级到 1.1.1 时，并且 PSK 值长于 512 位（64 字节 PSK，以 128 个十六进制数字输入）。

另请参见：值大小限制