3 个 PSK 问题

PSK 包含奇数个十六进制数字

Proxy 或 agent 无法启动,在 proxy 或 agent 日志中显示如下信息:

invalid PSK in file "/home/zabbix/zabbix_proxy.psk"

传递给 GnuTLS 的 PSK 标识 string 超过 128 字节

在 TLS 客户端日志中:

gnutls_handshake() 失败: -110 TLS 连接未正常终止。

在 TLS 服务端日志中:

gnutls_handshake() 失败: -90 提供的 SRP 用户名非法。

OpenSSL 1.1.1 使用的 PSK 值过长

在连接端日志中:

...OpenSSL库(version OpenSSL 1.1.1 11 2018年9月)已初始化
       ...
       ...在zbx_tls_connect()中:psk_identity:"PSK 1"
       ...zbx_psk_client_cb() 请求的PSK身份为 "PSK 1"
       ...zbx_tls_connect()结束:失败 错误:'SSL_connect() 设置结果代码为 SSL_ERROR_SSL: file ssl\statem\extensions_clnt.c 第801行: 错误:14212044:SSL例程:tls_construct_ctos_early_data:内部错误: TLS写入致命警报 "内部错误"'

在接受端日志中:

...来自123.123.123.123的消息缺少头部。消息被忽略。

此问题通常在将OpenSSL从1.0.x 或 1.1.0 升级到 1.1.1,且PSK值长度超过512位(64字节PSK, 以128位十六进制数字输入)时出现。

另请参阅:大小限制