您希望使用 SSL 会话密钥解密和检查 SSL 应用程序数据。
您希望在客户端系统上记录 SSL 会话密钥。
您正在客户端系统上使用 Firefox 或 Google Chrome 浏览器来访问 Web 应用程序。
注意:您还可以在客户端系统上使用 Microsoft Edge (Chromium) 浏览器访问 Web 应用程序。
描述
您可以使用 SSL 会话密钥解密 SSL 流量。执行此操作的一种方法是将 SSLKEYLOGFILE 环境变量设置为客户端操作系统上的文件名,以记录 SSL 密钥信息。此方法在以下任何情况下都很有用:
出于安全原因,您只能记录一个用户的 SSL 会话密钥。
您无权访问 BIG-IP 系统,或者不想在 BIG-IP 系统上运行命令。
您可以使用此方法解密 RSA 以及基于 Diffie-Hellman 的密钥交换(如 DHE 或 ECDHE)。
记录 SSL 会话密钥的其他方法是使用 K10209:使用 ssldump 实用程序进行数据包跟踪概述中描述的 ssldump 命令,或使用 K16700:使用 SSL::sessionsecret iRules 命令 (11.6.x) 解密 SSL 流量中描述的 iRules。
先决条件
必须满足以下先决条件才能使用此过程:
您正在客户端系统上使用 Firefox 或 Chrome 浏览器来访问 Web 应用程序。
在客户端系统上安装了 Wireshark。
程序
要在使用 Firefox 或 Chrome 时通过设置 SSLKEYLOGFILE 环境变量来解密 SSL 流量,请根据计算机的操作系统执行以下两个过程:
通过设置 SSLKEYLOGFILE 环境变量,在以下客户端系统之一上记录 SSL 会话密钥:
在 Windows 上记录 SSL 会话密钥
在 Mac 上记录 SSL 会话密钥
在 Linux 上记录 SSL 会话密钥
在 Wireshark 中加载 SSL 密钥日志文件
在 Tshark 中加载 SSL 密钥日志文件(Wireshark 的命令行版本)
注意:本文介绍如何使用 Wireshark 应用程序在数据包捕获中解密 SSL 应用程序数据;但是,您不必使用 Wireshark 来收集初始数据包捕获。有关详细信息,请参阅 Wireshark.org。此链接会将您带到 AskF5 之外的资源,并且可能会在我们不知情的情况下删除该文档。
重要提示:F5 支持 BIG-IP 系统软件。F5 不支持第三方软件,例如客户端操作系统或安装在客户端系统上的非 F5 应用程序。有关详细信息,请参阅操作系统手册。
有关这些过程的简要演示,请观看以下视频:
在 Windows 上记录 SSL 会话密钥
要通过设置 SSLKEYLOGFILE 在 Windows 上记录 SSL 会话密钥,请执行以下过程:
程序影响: 执行以下过程不应对系统产生负面影响。
登录到 Windows。
关闭所有 Firefox 和 Chrome 浏览器。
通过选择屏幕左下角的 Windows 图标来打开环境变量。
输入 env。
选择编辑帐户的环境变量。
在"环境变量"弹出窗口中,在"<用户名>的用户变量"下,选择"新建"。
对于 Variable name (变量名称),输入以下名称:
SSLKEYLOGFILE
对于 Variable value (变量值),输入 SSL 日志文件的完整路径名。
例如:
C:\Users\user1\Desktop\sslkeylog.txt
注意:您必须对输入的位置具有写入权限。
选择"确定"。
使用 Wireshark 等应用程序启动数据包捕获。
启动 Firefox 或 Chrome。
访问 Web 应用程序并执行要进行故障排除的步骤。执行此操作时,SSL 会话密钥将记录在步骤 8 中指定的文件中。
停止数据包捕获并将文件保存到客户端系统。
注意:在Wireshark中执行上传SSL密钥日志文件过程并查看解密的数据包捕获文件后,可以删除SSL日志文件以还原更改。
在 Mac 上记录 SSL 会话密钥
要通过设置 SSLKEYLOGFILE 在 Mac 上记录 SSL 会话密钥,请执行以下过程:
程序影响:执行以下过程不应对系统产生负面影响。
登录 Mac。
确保所有 Firefox 和 Chrome 浏览器都已关闭。
注意:在 Mac 中,应用程序可能会在后台运行。您必须使用屏幕左上角 Apple 菜单中的"强制退出"来强制退出应用程序。
启动 OS X 终端以进行命令行访问。
使用以下命令语法为您的帐户设置 SSLKEYLOGFILE 环境变量:
导出SSLKEYLOGFILE="/Users/<account_name>/sslkeyfile"
例如:
导出 SSLKEYLOGFILE="/Users/user1/sslkeyfile"
使用 Wireshark 或 tcpdump 等应用程序启动数据包捕获。使用以下命令在 Mac 上打开 Wireshark 应用程序,然后开始捕获:
打开 /Applications/Wireshark.app
有关 tcpdump 的信息,请参阅 K411:使用 tcpdump 实用程序进行数据包跟踪概述。
使用以下命令语法从同一终端启动 Firefox 或 Chrome:
打开 /Applications/
注: 您必须从同一命令终端启动浏览器,因为会话变量仅在终端上设置。
例如:
打开 /Applications/Firefox.app
访问 Web 应用程序并执行要进行故障排除的步骤。执行此操作时,SSL 会话密钥将记录在步骤 4 中指定的文件中。
停止数据包捕获并将文件保存到客户端系统。
注意:在Wireshark中执行上传SSL密钥日志文件过程并查看数据包解密的捕获文件后,可以通过输入以下命令删除SSL日志文件以还原更改:export SSLKEYLOGFILE=""。
在 Linux 上记录 SSL 会话密钥
要通过设置 SSLKEYLOGFILE 在 Linux 上记录 SSL 会话密钥,请执行以下过程:
程序影响:执行以下过程不应对系统产生负面影响。
登录 Linux。
关闭所有 Firefox 和 Chrome 浏览器。
打开用于命令行访问的终端。
使用以下命令语法为您的帐户设置 SSLKEYLOGFILE 环境变量:
导出 SSLKEYLOGFILE="/home/<account_name>/sslkeyfile"
例如:
导出 SSLKEYLOGFILE="/home/user1/sslkeyfile"
使用 Wireshark 或 tcpdump 等应用程序启动数据包捕获。有关 tcpdump 的信息,请参阅 K411:使用 tcpdump 实用程序进行数据包跟踪概述。
从同一终端启动 Firefox 或 Chrome。
例如:
Firefox 和
注: 您必须从同一命令终端启动浏览器,因为会话变量仅在终端上设置。
访问 Web 应用程序并执行要进行故障排除的步骤。执行此操作时,SSL 会话密钥将记录在步骤 4 中指定的文件中。
停止数据包捕获并将文件保存到客户端系统。
注意:在 Wireshark 中执行上传 SSL 密钥日志文件过程并查看解密的数据包捕获文件后,可以通过输入以下命令删除 SSL 日志文件以还原更改:export SSLKEYLOGFILE=""。
在 Wireshark 中加载 SSL 密钥日志文件
在客户端系统上打开 Wireshark。
转到编辑>首选项>协议> TLS。
注意:对于低于 3.0.0 的 Wireshark 版本,请转到编辑>首选项>协议> SSL。对于 Mac,请转到 Wireshark >首选项>协议> TLS。
对于"(Pre)-Master-Secret"日志文件名,请选择"浏览"并找到您创建的 SSL 日志文件。
选择"确定"。
在 Wireshark 中打开数据包捕获文件。
在 Wireshark 数据包窗口中,选择以前加密的数据包以查看未加密的应用程序数据。
在 Tshark(Wireshark 的命令行版本)中加载 SSL 密钥日志文件
在 Tshark 命令行上指定 tls.keylog_file: 选项。例如:
tshark -o 'tls.keylog_file:日志文件.pms' -r capture.pcap