用 Wireshark 在 Firefox 或 Google Chrome 上使用 SSLKEYLOGFILE 环境变量解密 SSL 流量-CSDN博客

原文这

您希望使用 SSL 会话密钥解密和检查 SSL 应用程序数据。
您希望在客户端系统上记录 SSL 会话密钥。
您正在客户端系统上使用 Firefox 或 Google Chrome 浏览器来访问 Web 应用程序。
注意您还可以在客户端系统上使用 Microsoft Edge Chromium 浏览器访问 Web 应用程序。

描述
您可以使用 SSL 会话密钥解密 SSL 流量。执行此操作的一种方法是将 SSLKEYLOGFILE 环境变量设置为客户端操作系统上的文件名以记录 SSL 密钥信息。此方法在以下任何情况下都很有用

出于安全原因您只能记录一个用户的 SSL 会话密钥。
您无权访问 BIG-IP 系统或者不想在 BIG-IP 系统上运行命令。
您可以使用此方法解密 RSA 以及基于 Diffie-Hellman 的密钥交换如 DHE 或 ECDHE。

记录 SSL 会话密钥的其他方法是使用 K10209使用 ssldump 实用程序进行数据包跟踪概述中描述的 ssldump 命令或使用 K16700使用 SSLsessionsecret iRules 命令 11.6.x 解密 SSL 流量中描述的 iRules。

先决条件

必须满足以下先决条件才能使用此过程

您正在客户端系统上使用 Firefox 或 Chrome 浏览器来访问 Web 应用程序。
在客户端系统上安装了 Wireshark。
程序

要在使用 Firefox 或 Chrome 时通过设置 SSLKEYLOGFILE 环境变量来解密 SSL 流量请根据计算机的操作系统执行以下两个过程

通过设置 SSLKEYLOGFILE 环境变量在以下客户端系统之一上记录 SSL 会话密钥
在 Windows 上记录 SSL 会话密钥
在 Mac 上记录 SSL 会话密钥
在 Linux 上记录 SSL 会话密钥
在 Wireshark 中加载 SSL 密钥日志文件
在 Tshark 中加载 SSL 密钥日志文件Wireshark 的命令行版本
注意本文介绍如何使用 Wireshark 应用程序在数据包捕获中解密 SSL 应用程序数据;但是您不必使用 Wireshark 来收集初始数据包捕获。有关详细信息请参阅 Wireshark.org。此链接会将您带到 AskF5 之外的资源并且可能会在我们不知情的情况下删除该文档。

重要提示F5 支持 BIG-IP 系统软件。F5 不支持第三方软件例如客户端操作系统或安装在客户端系统上的非 F5 应用程序。有关详细信息请参阅操作系统手册。

有关这些过程的简要演示请观看以下视频

在 Windows 上记录 SSL 会话密钥

要通过设置 SSLKEYLOGFILE 在 Windows 上记录 SSL 会话密钥请执行以下过程

程序影响 执行以下过程不应对系统产生负面影响。

登录到 Windows。
关闭所有 Firefox 和 Chrome 浏览器。
通过选择屏幕左下角的 Windows 图标来打开环境变量。
输入 env。
选择编辑帐户的环境变量。
在“环境变量”弹出窗口中在“<用户名>的用户变量”下选择“新建”。
对于 Variable name 变量名称输入以下名称
SSLKEYLOGFILE

对于 Variable value 变量值输入 SSL 日志文件的完整路径名。
例如

C\Users\user1\Desktop\sslkeylog.txt

注意您必须对输入的位置具有写入权限。

选择“确定”。
使用 Wireshark 等应用程序启动数据包捕获。
启动 Firefox 或 Chrome。
访问 Web 应用程序并执行要进行故障排除的步骤。执行此操作时SSL 会话密钥将记录在步骤 8 中指定的文件中。
停止数据包捕获并将文件保存到客户端系统。
注意在Wireshark中执行上传SSL密钥日志文件过程并查看解密的数据包捕获文件后可以删除SSL日志文件以还原更改。

在 Mac 上记录 SSL 会话密钥

要通过设置 SSLKEYLOGFILE 在 Mac 上记录 SSL 会话密钥请执行以下过程

程序影响执行以下过程不应对系统产生负面影响。

登录 Mac。
确保所有 Firefox 和 Chrome 浏览器都已关闭。
注意在 Mac 中应用程序可能会在后台运行。您必须使用屏幕左上角 Apple 菜单中的“强制退出”来强制退出应用程序。

启动 OS X 终端以进行命令行访问。
使用以下命令语法为您的帐户设置 SSLKEYLOGFILE 环境变量
导出SSLKEYLOGFILE=“/Users/<account_name>/sslkeyfile”

例如

导出 SSLKEYLOGFILE=“/Users/user1/sslkeyfile”

使用 Wireshark 或 tcpdump 等应用程序启动数据包捕获。使用以下命令在 Mac 上打开 Wireshark 应用程序然后开始捕获
打开 /Applications/Wireshark.app

有关 tcpdump 的信息请参阅 K411使用 tcpdump 实用程序进行数据包跟踪概述。
使用以下命令语法从同一终端启动 Firefox 或 Chrome
打开 /Applications/

注 您必须从同一命令终端启动浏览器因为会话变量仅在终端上设置。

例如

打开 /Applications/Firefox.app

访问 Web 应用程序并执行要进行故障排除的步骤。执行此操作时SSL 会话密钥将记录在步骤 4 中指定的文件中。
停止数据包捕获并将文件保存到客户端系统。
注意在Wireshark中执行上传SSL密钥日志文件过程并查看数据包解密的捕获文件后可以通过输入以下命令删除SSL日志文件以还原更改export SSLKEYLOGFILE=“”。

在 Linux 上记录 SSL 会话密钥

要通过设置 SSLKEYLOGFILE 在 Linux 上记录 SSL 会话密钥请执行以下过程

程序影响执行以下过程不应对系统产生负面影响。

登录 Linux。
关闭所有 Firefox 和 Chrome 浏览器。
打开用于命令行访问的终端。
使用以下命令语法为您的帐户设置 SSLKEYLOGFILE 环境变量
导出 SSLKEYLOGFILE=“/home/<account_name>/sslkeyfile”

例如

导出 SSLKEYLOGFILE=“/home/user1/sslkeyfile”

使用 Wireshark 或 tcpdump 等应用程序启动数据包捕获。有关 tcpdump 的信息请参阅 K411使用 tcpdump 实用程序进行数据包跟踪概述。
从同一终端启动 Firefox 或 Chrome。
例如

Firefox 和

注 您必须从同一命令终端启动浏览器因为会话变量仅在终端上设置。

访问 Web 应用程序并执行要进行故障排除的步骤。执行此操作时SSL 会话密钥将记录在步骤 4 中指定的文件中。
停止数据包捕获并将文件保存到客户端系统。

注意在 Wireshark 中执行上传 SSL 密钥日志文件过程并查看解密的数据包捕获文件后可以通过输入以下命令删除 SSL 日志文件以还原更改export SSLKEYLOGFILE=“”。
在 Wireshark 中加载 SSL 密钥日志文件

在客户端系统上打开 Wireshark。
转到编辑>首选项>协议> TLS。
注意对于低于 3.0.0 的 Wireshark 版本请转到编辑>首选项>协议> SSL。对于 Mac请转到 Wireshark >首选项>协议> TLS。

对于“Pre-Master-Secret”日志文件名请选择“浏览”并找到您创建的 SSL 日志文件。
选择“确定”。
在 Wireshark 中打开数据包捕获文件。
在 Wireshark 数据包窗口中选择以前加密的数据包以查看未加密的应用程序数据。
在 TsharkWireshark 的命令行版本中加载 SSL 密钥日志文件

在 Tshark 命令行上指定 tls.keylog_file 选项。例如
tshark -o ‘tls.keylog_file日志文件.pms’ -r capture.pcap