普通网友 2025-07-11 13:40 采纳率: 98.5%
浏览 4
已采纳

CONNECTED(000001DC) write:errno=10054 no peer certificate available

**问题描述:** 在使用SSL/TLS进行安全通信时,客户端或服务端连接突然中断,并日志中出现错误信息:`CONNECTED(000001DC) write:errno=10054 no peer certificate available`。该错误通常出现在基于OpenSSL的应用程序中,尤其是在建立HTTPS连接、MQTT通信或自定义安全协议时。开发者常遇到的疑问是:为何在连接已建立(CONNECTED)的状态下,写操作仍会失败?具体表现为Windows系统下的Winsock错误10054(远程主机强迫关闭了一个现有的连接),并伴随“no peer certificate available”提示,说明对端未提供有效证书,导致SSL握手失败或连接异常终止。 此问题涉及网络通信、SSL/TLS握手流程、证书验证机制等多个层面,需深入分析连接建立过程中的证书交换逻辑与底层套接字行为。
  • 写回答

1条回答 默认 最新

  • ScandalRafflesia 2025-07-11 13:41
    关注

    SSL/TLS连接异常中断问题分析:`write:errno=10054 no peer certificate available`

    1. 问题背景与初步理解

    在基于OpenSSL的网络通信中,开发者常遇到连接建立后突然中断的情况,并伴随如下典型错误日志:

    CONNECTED(000001DC) write:errno=10054 no peer certificate available

    其中:

    • CONNECTED(...) 表示TCP连接已成功建立。
    • write:errno=10054 是Windows平台下的Winsock错误码,表示“远程主机强迫关闭了一个现有的连接”。
    • no peer certificate available 表示对端未提供有效证书或未完成TLS握手阶段。

    2. 网络连接流程与SSL/TLS握手阶段分析

    要理解为何连接建立后写操作仍失败,需明确SSL/TLS握手流程和TCP连接状态之间的关系。

    下图展示了典型的SSL/TLS握手过程与TCP连接状态变化的关系:

          graph TD
        A[TCP Connect] --> B[ClientHello]
        B --> C[ServerHello]
        C --> D[Certificate Exchange]
        D --> E[Key Exchange]
        E --> F[Finished]
        F --> G[Application Data]
        H[Write Failure] -->|Before Finished| I[Connection Reset]

    尽管TCP连接已经建立(即显示为CONNECTED),但SSL/TLS握手尚未完成。此时进行写操作会触发底层套接字错误,因为安全通道尚未就绪。

    3. 错误产生的可能原因

    以下是一些常见的导致该错误的原因:

    编号原因描述影响常见场景
    1服务端未发送证书客户端无法验证身份,终止连接配置错误、证书路径错误、证书过期等
    2证书验证失败客户端拒绝继续通信自签名证书、CA不信任、域名不匹配等
    3SSL/TLS协议版本不一致握手失败客户端和服务端支持的TLS版本不同
    4中间设备(如防火墙)中断连接连接被强制关闭网络策略限制、超时、负载过高
    5应用层提前调用write()SSL通道未就绪未等待握手完成即发送数据

    4. 诊断方法与排查步骤

    可采用以下步骤进行问题定位:

    1. 检查日志详细级别:启用OpenSSL调试模式,查看完整的握手过程。
    2. 使用Wireshark抓包分析:确认是否收到ServerHello和Certificate消息。
    3. 验证证书链完整性:确保服务端证书正确加载并包含完整链。
    4. 测试基本连接:使用openssl s_client -connect host:port手动连接,观察输出。
    5. 检查系统时间:证书有效期依赖于准确的系统时间。
    6. 查看防火墙/代理设置:排除中间设备干扰。

    5. 示例代码与修复建议

    以下是一个简单的OpenSSL客户端连接示例,展示如何正确处理握手流程:

    #include <openssl/ssl.h>
#include <openssl/err.h>

SSL_CTX* create_context() {
    const SSL_METHOD *method = TLS_client_method();
    SSL_CTX *ctx = SSL_CTX_new(method);
    if (!ctx) {
        ERR_print_errors_fp(stderr);
        exit(EXIT_FAILURE);
    }
    return ctx;
}

void connect_to_server(const char *hostname, int port) {
    SSL_CTX *ctx = create_context();
    // 加载根证书
    if (SSL_CTX_load_verify_locations(ctx, "ca-cert.pem", NULL) <= 0) {
        ERR_print_errors_fp(stderr);
    }

    // 创建socket并连接
    int sock = create_socket_connection(hostname, port); // 自定义函数

    SSL *ssl = SSL_new(ctx);
    SSL_set_fd(ssl, sock);

    if (SSL_connect(ssl) == -1) {
        ERR_print_errors_fp(stderr);
    } else {
        printf("SSL connection established\n");
        // 此处再执行写操作
    }

    SSL_free(ssl);
    close(sock);
    SSL_CTX_free(ctx);
}

    注意:必须在SSL_connect()返回成功后再执行写操作,否则可能导致连接中断。

    6. 最佳实践与预防措施

    为避免此类问题,建议采取以下措施:

    • 始终验证证书有效性(使用CA证书库)。
    • 使用最新的TLS版本(如TLS 1.3)。
    • 禁用弱加密算法和旧协议版本。
    • 启用双向认证(mTLS)以增强安全性。
    • 定期更新证书并监控其有效期。
    • 在网络边界部署健康检查机制。
    • 记录详细的连接日志用于故障排查。
    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • 解决OpenSSL SSL_read: Connection was reset, errno 10054
    2023-05-01 01:36
    Rain_Rong的博客 使用 git Git-2.26.2-64-bit.exe node node-v10.16.3-x64.msi 解决OpenSSL SSL_read: Connection was reset, errno 10054 解决办法 第一种 git config --global ...ipconfig /flushdns 第二种 Failed to connect to ...
  • 手工测试SSL/TLS的脆弱性
    2021-03-01 18:33
    jamex的博客  DB92A6A80BF4CA4A Start Time: 1390178607 Timeout : 300 (sec) Verify return code: 18 (self signed certificate) 如果服务器不支持SSLv2,那么将出现握手失败错误,如下所示: 1 2 3 CONNECTED...
  • juju reactive charm (by quqi99)
    2019-11-21 08:25
    quqi99的博客 message ) # Signal that we know the version of hello set_flag('hello.version.set') @when('database.available') def write_text_file(mysql): render(source='text-file.tmpl', target='/root/text-file.txt'...
  • centos7 安装部署 gitlab-ce-14
    2023-05-13 16:24
    weivi001的博客 ca_path: /etc/pki/tls/certs +# self_signed_cert: false + +# File used as authorized_keys for gitlab user +auth_file: “/var/opt/gitlab/.ssh/authorized_keys” + +# SSL certificate dir where custom ...
  • SSL双向认证与单向认证
    2023-05-29 11:33
    才才@开开的博客 -----BEGIN RSA PRIVATE KEY----- -----END RSA PRIVATE KEY----- or: -----BEGIN CERTIFICATE REQUEST----- -----END CERTIFICATE REQUEST----- or: ----BEGIN CERTIFICATE----- -----END CERTIFICATE----- der格式...
  • engine安装配置记录
    2022-06-06 16:48
    IT曙光的博客 Access denied root@172.16.100.110's password: Activate the web console with: systemctl enable --now cockpit.socket Last failed login: Tue May 31 21:58:43 EDT 2022 from 192.168.52.138 on ssh:notty ...
  • Swoole 源码分析——Client模块之Connect
    2018-09-30 14:25
    weixin_34198881的博客 static sw_inline zval* php_swoole_read_init_property(zend_class_entry *scope, zval *object, const char *p, size_t pl TSRMLS_DC) { zval *property = sw_zend_read_property(scope, object, p, pl, 1 TSRMLS...
  • PXC 避免加入集群时发生SST
    2018-08-17 21:44
    weixin_34161032的博客 环境 现有集群节点: 192.168.99.210:3101 新加入节点: 192.168.99.211:3101 ...通过xtrabackup备份还原实例,并通过同步方式追...| wsrep_connected | ON | | wsrep_local_bf_aborts | 0 | | wsrep_local_index | 0 ...
  • 没有解决我的问题, 去提问

问题事件

  • 已采纳回答 10月23日
  • 创建了问题 7月11日