lost and found ( for me ? )

失敗! Wireshark で SSL 通信の中身を見る

wireshark 1.1.3

ssldumpあるんだけど、openssl のバージョンにより,ssldumpコンパイルできなかったりするので、
wireshark で。結果は失敗。。。

wiresharkで SSL通信の中身を見るには、もち秘密鍵が必要。

Apache SSLの設定は完了していることを前提として:

暗号化強度は 256bit , 鍵は openssl でテスト用を作成。( mod_ssl を yum でインストールして作成された鍵を使用 )


443ポートをパケットキャプチャー。

[root@arizona ~]# tshark -i lo port 443 -w ssl.pcap
Running as user "root" and group "root". This could be dangerous.
Capturing on lo
76 ^C
[root@arizona ~]#

wireshark を起動 ( not CLI ! )

wireshark で見れるのは、RSA形式。

SSLCertificateFile /etc/pki/tls/certs/localhost.crt <- 証明書
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key <- 秘密鍵

鍵を確認すれば、何の形式か確認できる。

[root@arizona ~]# head -1 /etc/pki/tls/private/localhost.key
-----BEGIN RSA PRIVATE KEY----- <- これー
  snip
-----END RSA PRIVATE KEY----- <- これー

wireshark -> edit -> preferences -> protocols -> SSL へ GO !

秘密鍵を指定する。

RSA Key list に ip,port,protocol,private_key_file_name という書式で記述する。

今回だと、127.0.0.1,443,http,/etc/pki/tls/private/localhost.key

と書く。

like this:


ん、エラーが。復号化できない。

[root@arizona ~]# can't open file /etc/pki/tls/private/localhost.key

なんだろー。鍵は読んでいそうな感じだけど。

[root@arizona ~]# less degug.txt
ssl_association_remove removing TCP 443 - http handle 0x9d83038
ssl_init keys string:
127.1,443,http,/etc/pki/tls/private/localhost.key
ssl_init found host entry 127.1,443,http,/etc/pki/tls/private/localhost.key
ssl_init addr '127.1.0.0' port '443' filename '/etc/pki/tls/private/localhost.key' password(only for p12 file) '(null)'

なんだろう。。あとで、wiresharkのwikiを調べて再チャレンジしよう。。。
openssl で鍵を作り直すか。。

No comments:

Post a Comment

Note: Only a member of this blog may post a comment.