搞了一两天的https服务端,终于流程的运行起来了。
大部分时间都是花在自签名证书上,找了很多文章,都是已失败告终。
最终借鉴大佬的文章,至此成功了百分之九十。
非常感谢。
我自己在整理下吧。
环境
Windows目前安装openssl在D:\Program Files\OpenSSL-Win64\bin路径
在bin目录下执行:
mkdir -p demoCA/newcerts
touch ./demoCA/index.txt ./demoCA/serial
echo "01">> ./demoCA/serial
在签署证书之前需要确认openssl.cnf中的配置(放在存放位置,可以用-config 指定位置),如下所示:
#根据实际情况修改,将match改成optional,否则ca.crt必须与server.csr中的各个字段值一致才能签署
[ policy_match ]
countryName = optional
stateOrProvinceName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
# 确保req下存在以下2行(默认第一行是有的,第2行被注释了)
[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req
# 确保req_distinguished_name下没有 0.xxx 的标签,有的话把0.xxx的0. 去掉
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = XX
countryName_min = 2
countryName_max = 2
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
localityName_default = Default City
organizationName = Organization Name (eg, company)
organizationName_default = Default Company Ltd
organizationalUnitName = Organizational Unit Name (eg, section)
commonName = Common Name (eg, your name or your server\'s hostname)
commonName_max = 64
emailAddress = Email Address
emailAddress_max = 64
#添加一行subjectAltName=@alt_names
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName=@alt_names
#新增alt_names,注意括号前后的空格,DNS.x 的数量可以自己加
#如果没有IP这一项,浏览器使用IP访问时验证无法通过
#这个IP为我的linux设备IP
[ alt_names ]
IP.1 = 192.168.8.147
DNS.1 = dfe.leida.org
DNS.2 = ex.abcexpale.net
生成自签CA证书
生成CA私钥
openssl genrsa -out ca.key 2048
生成CA证书
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt -config openssl.cnf
注:
Common Name (e.g. server FQDN or YOUR name) []:ca.org 这边随便填就可以。
openssl.cnf的路径注意填对。最后在当前目录下生成的ca.key即为CA私钥,ca.crt即为CA证书(包含CA公钥)
生成服务器证书
生成服务器私钥
openssl genrsa -out server.key 2048
生成服务器签署申请文件
openssl req -new -out server.csr -key server.key -config openssl.cnf
注:
需要填写服务器信息,如实填写即可。需要注意Common Name 需要与openssl.cnf 中配置的域名相对应(alt_names),否则客户端无法验证。该命令最后生成的server.csr即为申请文件。
使用CA证书和私钥签署服务器证书
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -extensions v3_req -config openssl.cnf
注:
直接运行该签署命令,
创建完毕后,运行签署命令即可完成服务器证书的制作。当前目录下生成的server.crt即为服务器证书,server.key为服务器私钥
将证书导出成浏览器支持的.p12格式
openssl pkcs12 -export -clcerts -in ca.crt -inkey ca.key -out ca.p12
openssl pkcs12 -export -clcerts -in server.crt -inkey server.key -out server.p12
把server.p12安装到个人。ca.p12安装到受信任的根证书。
双击证书就可安装。
ca.crt和server.crt应该也要安装,这个还没有很清楚。目前我是都安装了。后续在测试看看。
经过验证,只需要安装server.p12和ca.p12两个证书就可以
使用浏览器测试https
SSL_accept报错问题;
SSL_get_peer_certificate获取不到证书问题;
需要增加这些,不然获取不到客户端证书。
// 双向验证 // SSL_VERIFY_PEER—要求对证书进行认证,没有证书也会放行 // SSL_VERIFY_FAIL_IF_NO_PEER_CERT—要求客户端需要提供证书,但验证发现单独使用没有证书也会放行
SSL_CTX_set_verify
//没设置这个会报错
//error:140D9115:SSL routines:SSL_GET_PREV_SESSION:session id context uninitialized
SSL_CTX_set_session_id_context
// 设置信任根证书
SSL_CTX_load_verify_locations
最后终于折腾上岸。
补充下代码部分
服务端和客户端c代码可参考
ssl_server.c程序设计
/*
参考链接:https://www.cnblogs.com/lsdb/p/9391979.html
执行命令:./server 7838 1 server.crt server.key ca.crt
*/
#include <stdio.h>
#include <stdlib.h>
#include <errno.h>
#include <string.h>
#include <sys/types.h>
#include <netinet/in.h>
#include <sys/socket.h>
#include <sys/wait.h>
#include <unistd.h>
#include <arpa/inet.h>
#include <openssl/ssl.h>
#include <openssl/err.h>
#define OK 0
#define ERR 1
#define MAXBUF 1024
//进行证书认证并打印证书相关信息
//return:OK表示证书验证成功,ERR表示证书验证失败
int ShowCerts(SSL * ssl)
{
X509 *cert;
char *line;
//获取证书并返回X509操作句柄
cert = SSL_get_peer_certificate(ssl);
// SSL_get_verify_result()是重点,SSL_CTX_set_verify()只是配置启不启用并没有执行认证,调用该函数才会真证进行证书认证
// 如果验证不通过,那么程序抛出异常中止连接
if(SSL_get_verify_result(ssl) == X509_V_OK){
printf("收到client X509证书\n");
}
else{
printf("未收到client X509证书\n");
return ERR;
}
if (cert != NULL) {
printf("client数字证书信息:\n");
line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);
printf("证书: %s\n", line);
free(line);
line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);
printf("颁发者: %s\n\n", line);
free(line);
X509_free(cert);
printf("对client证书验证通过!!!\n");
}
else{
printf("无证书信息,对client证书验证失败!!!\n");
return ERR;
}
return OK;
}
int main(int argc, char **argv)
{
int sockfd, new_fd;
socklen_t len;
struct sockaddr_in my_addr, their_addr;
unsigned int myport, lisnum;
char send_buf[MAXBUF + 1];
char recv_buf[MAXBUF + 1];
SSL_CTX *ctx;
//判断参数个数是否正确
if(argc != 6)
{
printf("usage: %s ser_port lis_num ser_crt ser_key ca_crt\n",argv[0]);
return -1;
}
//获取port端口号,如果没指定则default=7838
if (argv[1])
myport = atoi(argv[1]);
else
myport = 7838;
//设置最大监听数量,如果没有指定则default=2
if (argv[2])
lisnum = atoi(argv[2]);
else
lisnum = 2;
/**************************************第一步:OPENSSL初始化**********************************/
/* SSL 库初始化 */
SSL_library_init();
/* 载入所有 SSL 算法 */
OpenSSL_add_all_algorithms();
/* 载入所有 SSL 错误消息 */
SSL_load_error_strings();
/* 以 SSL V2 和 V3 标准兼容方式产生一个 SSL_CTX ,即 SSL Content Text */
ctx = SSL_CTX_new(SSLv23_server_method());
/* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 单独表示 V2 或 V3标准 */
if (ctx == NULL) {
ERR_print_errors_fp(stdout);
exit(1);
}
// 双向验证
// SSL_VERIFY_PEER---要求对证书进行认证,没有证书也会放行
// SSL_VERIFY_FAIL_IF_NO_PEER_CERT---要求客户端需要提供证书,但验证发现单独使用没有证书也会放行
SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER|SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);
// 设置信任根证书
if (SSL_CTX_load_verify_locations(ctx, argv[5],NULL)<=0){
ERR_print_errors_fp(stdout);
exit(1);
}
/* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 */
if (SSL_CTX_use_certificate_file(ctx, argv[3], SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stdout);
exit(1);
}
/* 载入用户私钥 */
if (SSL_CTX_use_PrivateKey_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stdout);
exit(1);
}
/* 检查用户私钥是否正确 */
if (!SSL_CTX_check_private_key(ctx)) {
ERR_print_errors_fp(stdout);
exit(1);
}
/**************************************第二步:普通socket建立连接*******************************/
/* 开启一个 socket 监听 */
if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {
perror("socket");
exit(1);
} else
printf("socket created success!\n");
bzero(&my_addr, sizeof(my_addr));
my_addr.sin_family = PF_INET;
my_addr.sin_port = htons(myport);
my_addr.sin_addr.s_addr = INADDR_ANY;
if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr))== -1) {
perror("bind");
exit(1);
} else
printf("binded success!\n");
if (listen(sockfd, lisnum) == -1) {
perror("listen");
exit(1);
} else
printf("begin listen,waitting for client connect...\n");
SSL *ssl;
len = sizeof(struct sockaddr);
/* 等待客户端连上来 */
if ((new_fd = accept(sockfd, (struct sockaddr *) &their_addr, &len))
== -1) {
perror("accept");
exit(errno);
} else
printf("server: got connection from %s, port %d, socket %d\n",
inet_ntoa(their_addr.sin_addr), ntohs(their_addr.sin_port),
new_fd);
/**************************************第三步:将普通socket与SSL绑定,在SSL层建立连接*******************************/
/* 基于 ctx 产生一个新的 SSL */
ssl = SSL_new(ctx);
/* 将连接用户的 socket 加入到 SSL */
SSL_set_fd(ssl, new_fd);
/* 建立 SSL 连接 */
if (SSL_accept(ssl) == -1) {
perror("accept");
printf("SSL 连接失败!\n");
close(new_fd);
goto end;
}
/**************************************第四步:验证client客户端的证书*******************************/
if(ShowCerts(ssl) == ERR)goto end;
/**************************************第五步:https进行收发数据*******************************/
while(1)
{
/* SSL_read接收客户端的消息 */
printf("等待客户端发送过来的消息:\n");
len = SSL_read(ssl, recv_buf, MAXBUF);
if (len > 0)
printf("接收client消息成功:'%s',共%d个字节的数据\n", recv_buf, len);
else{
printf("消息接收失败!错误代码是%d,错误信息是'%s'\n",errno, strerror(errno));
break; //退出通信
}
memset(recv_buf,0,sizeof(recv_buf)); //清空接收缓存区
/* SSL_write发消息给客户端 */
printf("请输入要发送给客户端的内容:\n");
scanf("%s",send_buf);
if(!strncmp(send_buf,"+++",3))break; //收到+++表示退出
len = SSL_write(ssl, send_buf, strlen(send_buf));
if (len <= 0) {
printf("消息'%s'发送失败!错误代码是%d,错误信息是'%s'\n", send_buf, errno,strerror(errno));
break;
} else
printf("消息'%s'发送成功,共发送了%d个字节!\n", send_buf, len);
memset(send_buf,0,sizeof(send_buf)); //清空接收缓存区
}
/**************************************第六步:关闭连接及资源清理*******************************/
/* 处理每个新连接上的数据收发结束 */
end:
/* 关闭 SSL 连接 */
SSL_shutdown(ssl);
/* 释放 SSL */
SSL_free(ssl);
/* 关闭 socket */
close(new_fd);
/* 关闭监听的 socket */
close(sockfd);
/* 释放 CTX */
SSL_CTX_free(ctx);
return 0;
}
ssl_client.c程序设计
/*
参考链接:https://www.cnblogs.com/lsdb/p/9391979.html
执行命令:./client 127.0.0.1 7838 client.crt client.key ca.crt
*/
#include <stdio.h>
#include <string.h>
#include <errno.h>
#include <sys/socket.h>
#include <resolv.h>
#include <stdlib.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <unistd.h>
#include <openssl/ssl.h>
#include <openssl/err.h>
#define OK 0
#define ERR 1
#define MAXBUF 1024
#define CACERT "ca.crt" //定义CA根证书存放路径
//进行证书认证并打印证书相关信息
//return:OK表示证书验证成功,ERR表示证书验证失败
int ShowCerts(SSL * ssl)
{
X509 *cert;
char *line;
cert = SSL_get_peer_certificate(ssl);
// SSL_get_verify_result()是重点,SSL_CTX_set_verify()只是配置启不启用并没有执行认证,调用该函数才会真证进行证书认证
// 如果验证不通过,那么程序抛出异常中止连接
if(SSL_get_verify_result(ssl) == X509_V_OK){
printf("收到server X509证书\n");
}
else{
printf("未收到server X509证书\n");
return ERR;
}
if (cert != NULL) {
printf("server数字证书信息:\n");
line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);
printf("证书: %s\n", line);
free(line);
line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);
printf("颁发者: %s\n\n", line);
free(line);
X509_free(cert);
printf("对server证书验证通过!!!\n");
}
else{
printf("无证书信息,对server证书验证失败!!!\n");
return ERR;
}
return OK;
}
int main(int argc, char **argv)
{
int sockfd, len;
struct sockaddr_in dest;
char send_buffer[MAXBUF + 1];
char recv_buffer[MAXBUF + 1];
SSL_CTX *ctx;
SSL *ssl;
//判断参数个数是否正确
if(argc != 6)
{
printf("usage: %s ser_ip ser_port cli_crt cli_key ca_crt\n",argv[0]);
return -1;
}
// if (argc != 5) {
// printf("参数格式错误!正确用法如下:\n\t\t%s IP地址 端口\n\t比如:\t%s 127.0.0.1 80\n此程序用来从某个"
// "IP 地址的服务器某个端口接收最多 MAXBUF 个字节的消息",
// argv[0], argv[0]);
// exit(0);
// }
/**************************************第一步:OPENSSL初始化**********************************/
/* SSL 库初始化,参看 ssl-server.c 代码 */
SSL_library_init();
OpenSSL_add_all_algorithms();
SSL_load_error_strings();
ctx = SSL_CTX_new(SSLv23_client_method());
if (ctx == NULL) {
ERR_print_errors_fp(stdout);
exit(1);
}
// 双向验证
// SSL_VERIFY_PEER---要求对证书进行认证,没有证书也会放行
// SSL_VERIFY_FAIL_IF_NO_PEER_CERT---要求客户端需要提供证书,但验证发现单独使用没有证书也会放行
SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER|SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);
// 设置信任根证书
if (SSL_CTX_load_verify_locations(ctx, argv[5],NULL)<=0){
ERR_print_errors_fp(stdout);
exit(1);
}
/* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 */
if (SSL_CTX_use_certificate_file(ctx, argv[3], SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stdout);
exit(1);
}
/* 载入用户私钥 */
if (SSL_CTX_use_PrivateKey_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stdout);
exit(1);
}
/* 检查用户私钥是否正确 */
if (!SSL_CTX_check_private_key(ctx)) {
ERR_print_errors_fp(stdout);
exit(1);
}
/**************************************第二步:普通socket建立连接*******************************/
/* 创建一个 socket 用于 tcp 通信 */
if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {
perror("Socket");
exit(errno);
}
printf("socket created success!\n");
/* 初始化服务器端(对方)的地址和端口信息 */
bzero(&dest, sizeof(dest));
dest.sin_family = AF_INET;
dest.sin_port = htons(atoi(argv[2]));
if (inet_aton(argv[1], (struct in_addr *) &dest.sin_addr.s_addr) == 0) {
perror(argv[1]);
exit(errno);
}
printf("address created success!\n");
/* 连接服务器 */
if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {
perror("Connect ");
exit(errno);
}
printf("server connected success!\n");
/**************************************第三步:将普通socket与SSL绑定,在SSL层建立连接*******************************/
/* 基于 ctx 产生一个新的 SSL */
ssl = SSL_new(ctx);
SSL_set_fd(ssl, sockfd);
/* 建立 SSL 连接 */
if (SSL_connect(ssl) == -1)
{
ERR_print_errors_fp(stderr);
printf("SSL 连接失败!\n");
goto end;
}
else {
printf("Connected with %s encryption\n", SSL_get_cipher(ssl));
/**************************************第四步:验证server服务端的证书*******************************/
if(ShowCerts(ssl) == ERR)goto end;
}
/**************************************第五步:https进行收发数据*******************************/
//下面客户端和服务器互相收发
while(1)
{
//使用SSL_write函数发送数据
printf("请输入要发送给服务器的内容:\n");
scanf("%s",send_buffer);
if(!strncmp(send_buffer,"+++",3))break; //收到+++表示退出
/* 发消息给服务器 */
len = SSL_write(ssl, send_buffer, strlen(send_buffer));
if (len < 0)
printf("消息'%s'发送失败!错误代码是%d,错误信息是'%s'\n",send_buffer, errno, strerror(errno));
else
printf("消息'%s'发送成功,共发送了%d个字节!\n",send_buffer, len);
memset(send_buffer,0,sizeof(send_buffer)); //清空接收缓存区
/* 使用SSL_read函数接收数据,接收对方发过来的消息,最多接收 MAXBUF 个字节 */
len = SSL_read(ssl, recv_buffer, MAXBUF);
if (len > 0)
printf("接收消息成功:'%s',共%d个字节的数据\n",recv_buffer, len);
else
{
printf("消息接收失败!错误代码是%d,错误信息是'%s'\n",errno, strerror(errno));
break;
}
memset(recv_buffer,0,sizeof(recv_buffer)); //清空接收缓存区
}
/**************************************第六步:关闭连接及资源清理*******************************/
end:
/* 关闭连接 */
SSL_shutdown(ssl);
SSL_free(ssl);
close(sockfd);
SSL_CTX_free(ctx);
return 0;
}
1.首先确保openssl工具安装成功。
2.编译:
gcc ssl_server.c -o server -lssl -lcrypto -ldl -lcurses
gcc ssl_client.c -o client -lssl -lcrypto -ldl -lcurses
注上面编译得看openssl库的路径,如存放在/usr/lib下,
gcc ssl_server.c -o server -L/usr/lib/ -lssl -lcrypto -ldl -lcurses
gcc ssl_client.c -o client -L/usr/lib/ -lssl -lcrypto -ldl -lcurses
3.server服务端运行:
./server 7838 1 server.crt server.key ca.crt
其中7838表示server的端口号;1表示socket listen的数量;server.crt表示server证书存放路径;server.key表示server私钥存放路径;ca.crt表示CA根证书存放路径。
4.client客户端运行:
./client 127.0.0.1 7838 client.crt client.key ca.crt
其中127.0.0.1表示server的ip地址;7838表示server的端口号;client.crt表示client证书存放路径;client.key表示client私钥存放路径;ca.crt表示CA根证书存放路径。
5.执行结果
server端:
client端:
2022.04.18更新下
这样的话可以直接登录,不需要再电脑安装证书,只不过显示不安全。
把ca.crt安装到电脑的“受信任的根证书颁发机构”可以变为安全。