国密SSL整理

最新推荐文章于 2024-05-12 16:01:52 发布
最新推荐文章于 2024-05-12 16:01:52 发布
阅读量2.6k 收藏 12
点赞数
分类专栏: 编程 文章标签: ssl 运维 nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/btboyhappy/article/details/120134264
版权

背景

目前网上的都是用的HTTP/HTTPS协议,其中HTTPS = HTTP(超文本传输协议) + SSL(安全套件字层)/TLS(传输层安全协议)

HTTP:(HyperText Transfer Protocol)超文本传输协议,相信大家都不陌生,打开浏览器就能看到。

SSL:( Secure Sockets Layer )安全套件字层。可分为两层: SSL记录协议(SSL Record Protocol)和 SSL握手协议(SSL Handshake Protocol)。

TLS :( Transport Layer Security )传输层安全协议。也分为两层 TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。

而中国的最新相关安全标准,就是要把其中的安全实现更换成国密算法。

国密SSL指的是采用国密算法(SM1/2/3/4等),符合国密标准(GM/T0024-2014和GB/T38636-2020)的安全传输协议。
简而言之,国密SSL就是SSL/TLS协议的国密版本。

国密SSL实际使用中,需要国密证书、国密U盾、国密网关/服务器、国密浏览器等互相配合,才能形成完整的落地方案。

本文集中于国密SSL的服务端与客户端相关研究。

服务端

Linux安装国密Nginx

下载地址:https://www.gmssl.cn/gmssl/Tool_Down?File=gmssl_nginx_1.8.0_b10.tar.gz

#1) 下载gmssl_nginx_1.8.0_bxx.tar.gz到/root/下

#2) 解压
tar zxfm gmssl_nginx_1.8.0_bxxx.tar.gz -C /usr/local

#3)修改配置
vim /usr/local/nginx/conf/nginx.conf

#4)启动
cd /usr/local/nginx/sbin/  && ./nginx -c /usr/local/nginx/conf/nginx.conf

nginx.conf:
国密单向:

server
{
  listen 0.0.0.0:443 ssl;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-CBC-SM3:ECDHE-SM4-GCM-SM3;
  ssl_verify_client off;

  ssl_certificate /usr/local/nginx/conf/demo1.sm2.sig.crt.pem;
  ssl_certificate_key /usr/local/nginx/conf/demo1.sm2.sig.key.pem;

  ssl_certificate_key /usr/local/nginx/conf/demo1.sm2.enc.key.pem;
  ssl_certificate /usr/local/nginx/conf/demo1.sm2.enc.crt.pem;

  location /
  {
    root html;
    index index.html index.htm;
  }
}

国密双向:

server
{
  listen 0.0.0.0:443 ssl;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-CBC-SM3:ECDHE-SM4-GCM-SM3;
  ssl_client_certificate /usr/local/nginx/conf/demo1.sm2.trust;
  ssl_verify_client on;

  ssl_certificate /usr/local/nginx/conf/demo1.sm2.sig.crt.pem;
  ssl_certificate_key /usr/local/nginx/conf/demo1.sm2.sig.key.pem;

  ssl_certificate /usr/local/nginx/conf/demo1.sm2.enc.crt.pem;
  ssl_certificate_key /usr/local/nginx/conf/demo1.sm2.enc.key.pem;

  location /
  {
    root html;
    index index.html index.htm;
  }
}

证书生成导出:

https://www.gmssl.cn/gmssl/index.jsp

在GMSSL网站,国密数字证书——SM2证书,分别选择服务器、个人的证书类型,点击提交下载证书集合;
客户端证书demo1.sm2.trust 需要点击“证书链下载 -> PEM全部”下载trust类型证书

客户端

使用GMSSL SDK

https://www.gmssl.cn/gmssl/index.jsp

限制

如图,在SDK部分代码中增加了到期直接退出的机制

图片1.png

重瞳Tech
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
详解国密SSL ECC_SM4_SM3套件
云水木石
03-29 1万+
国密算法最好的应用场景应该是SSL/TLS通信,然而国密文档中并没有单独规范SSL/TLS协议,我们能参考的只有《GM/T 0024-2014 SSL ...
Android调用大宝CA国密SSL密码套件(0.99版本)访问HTTPS(国密SSL安全通道)的示例代码
02-26
使用方法见:... 1. Android使用HTTPCLIENT访问国密SSL协议的HTTPS服务 2. 示例代码为单向认证,可支持双向认证 3. 获取服务端的国密数字证书 4. 适用于Android 7.0(API 24)及以上
一文了解国密算法SSL证书
JoySSL230907的博客
01-22 916
真正完全且永久免费!国密SSL证书与传统的SSL证书在加密算法上有所不同。请注意,使用国密SSL证书需要确保您的服务器和应用程序支持国密算法。在选择国密SSL证书时,建议仔细查阅SSL证书提供商的文档和指南,确保满足您的需求。在SSL证书中,使用国密算法的证书通常称为"国密SSL证书"。在选择的SSL证书提供商处购买符合国密标准的SSL证书。将生成的CSR提交给SSL证书提供商,并按照其指导获取符合国密标准的SSL证书。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL
国密SSL通信协议详细介绍与抓包分析
ZHnDo的博客
01-04 4121
最近研究有关SSL协议的物联网安全协议,看了很多资料并且结合TASSL在ubuntu上跑了一个简单的demo,因此有了一些自己的理解,那么就详细讲解一下我所知道的SSL,相信这一篇文章就可以让你全面了解SSL
SM4-GCM Library代码示例
最新发布
迷失蒲公英
05-12 455
【代码】SM4-GCM Library代码示例。
构建网络信息安全的中国方案 - 国密SSL/TLCP协议介绍以及国密Nginx服务器部署
new9232的博客
01-07 4628
国密SSL协议指的是采用国密算法,符合国密标准的安全传输协议。简而言之,国密SSL就是SSL/TLS协议的国密版本。
使用国密SSL证书,实现SSL/TLS传输层国密改造
lavin1614
04-18 1005
国密SSL证书工作机制和常用的国际算法RSA SSL证书一样,但采用我国自主设计的SM2椭圆曲线公钥算法体系,遵循我国国家标准和管理规范。沃通国密SSL证书是国密合规的SSL证书产品,遵循国家标准技术规范并参考国际标准,支持SM2/SM3/SM4国产密码算法和国密安全协议,兼容360浏览器、沃通国密浏览器、红莲花浏览器等主要国密浏览器,兼容安恒WAF等支持国密算法的网络安全产品;采用自主可控密码技术保护数据机密性、完整性,防止数据在传输过程中被窃取或篡改,实现国密HTTPS加密通信以及服务器身份认证。
国密https握手协议抓包及流程详解
ryanzzzzz的博客
03-08 3470
使用的密码套件清单-Cipher Suite,这里服务器端选择了ECC_SM4_CBC_SM3密码套件,也就是SM2公钥算法、SM4-CBC分组密码算法和SM3杂凑算法。具体来说,这里SM2算法密钥交换算法,SM4是加密算法(SM4-CBC)、SM3是校验算法(国标要求为HMAC-SM3)。服务器的加密证书:加密证书中在同样在扩展字段中KeyUsage标识出KeyEncipherment为true和dataEncipherment为true,即数字证书中包含的公钥可用来做密钥加密密钥和数据密钥。
国密SSL浏览器访问国密SSL规范Tomcat服务器的完整方法(附演示DEMO访问方法)
04-09
3. 使用新安装的国密浏览器访问 https://127.0.0.1 地址,浏览器通过GMSSL_ECC_WITH_SM4_CBC_SM3国密密码套件与TOMCAT服务器建立国密SSL规范的单向加密通道,并打开指定网页 以上步骤经过实际测试 感谢大宝CA...
JAVA NIO MINA2调用大宝CA密码安全套件实现国密SSL安全通道,1.0.1版本,含通信示例代码
02-26
使用方法见:https://blog.csdn.net/upset_ming/article/details/96491058 1. 修改了前一版本中证书验证的bug,支持JDK8的高版本 2. 支持国密SSL双向认证 3. 将过期的国密证书替换为新证书
tomcat9 支持国密SSL通道版本,DoubleCA版本
06-03
tomcat支持国密SSL版本,二三十积分太贵了,来个便宜的给兄弟萌 使用方法: 1.解压 2.conf目录修改server.xml ,修改方法百度tomcat支持国密ssl配置 3.bin目录启动tomcat PS:conf下有证书文件,自行DoubleCA申请...
Android调用大宝CA国密SSL密码套件(0.99版本)访问国密SSL安全服务的示例代码
02-26
使用方法见:https://blog.csdn.net/upset_ming/article/details/89048916 1. 支持国密SSL单向认证和双向认证 2. 获取服务端的国密数字证书 3. 适用于Android 7.0(API 24)及以上
nginx:对上下游使用SSL连接
error311的博客
06-27 2831
对下游使用证书 1.ssl_certificate 指令 语法:ssl_certificate file; 默认:空 放置位置:http,server 2.ssl_certificate_key 指令 语法:ssl_certificate_key file; 默认:空 放置位置:http,server 验证下游证书 1.ssl_verify_client 指令 语法:ssl_verify_client on | off | ...
Nginx和openssl的配置以及秘钥和证书的生成
易大飞
06-14 1851
Nginx和openssl的配置以及秘钥和证书的生成   前期准备阶段:需要文件nginx-1.8.1.zip,openssl-1.0.1.tar.gz,nginx-sticky-module-1.1.tar.gz,pcre-8.35.zip,zlib-1.2.11.tar.gz。 注:所有需要的压缩包将统一放到nginx-1.8.1.zip中,这样方便后期使用。   一. 配置Ngin
关于国密HTTPS的那些事(三)
SSL加密技术
09-07 3178
前面我们和大家一起聊了一下加密套件,为什么这么详细的叙述加密套件呢,因为它的身份特殊啊,它可是连接通信双方的桥梁,也是月老手中的红绳。 言归正传,接下来我们再继续看看国密vpn协议中列举的基于国密算法加密套件(见下图)。每个加密套件也包含一个秘钥交换算法,一个加密算法,和一个校验算法。(大家不要奇怪怎么和之前介绍的4部分不一样啊,因为秘钥交换时使用的签名算法是一样的,如果这么表示RSA_RSA _.. ,这样看起来是不是很奇怪)。而在我们的实际应用中现在在国密SSL通信中主要使用的还是ECC_SM4_S
虚拟服务器ssl端口,nginx – 如何在一个虚拟服务器上使用ssl_verify_client = ON而在另一个虚拟服务器上使用ssl_verify_client = OFF?...
weixin_30989967的博客
08-02 805
我想强制对我的虚拟主机进行ssl客户端验证.但得到“没有发送所需的SSL证书”错误,试图从中获取一些东西.这是我的测试配置:# defaultsssl_certificate /etc/certs/server.cer;ssl_certificate_key /etc/certs/privkey-server.pem;ssl_client_certificate /etc/certs/allcas...
数字证书基础
markey1的博客
09-13 1895
[此文档是着手处理数字证书模块前的准备工作,图片是网上找的] 提出问题: 1.非对称加密中公私钥都可以加密,那么什么时候用公钥加密,什么时候用私钥“加密” ? 2.什么是数字签名,数字签名的作用是什么? 3.为什么要对数据的摘要进行签名,而不是直接计算原始数据的数字签名? 4.什么是数字证书,数字证书解决了什么问题? 这篇文档,主要围绕数字签名和数字证书的原理以及它们的作用展开。 1.什么是加密 加密:对明文数据按某种特殊算法进行处理,使其成为不可读的一段代码,通常称为“密文“, 密文通过”密钥“解密后还原
国密套件ECC-SM2-SM4-CBC-SM3和ECDHE-SM2-WITH-SM4-SM3
Java学习笔记
11-17 1295
双方交换各自的公钥,最后A计算点(x1,y1) = d1Q2,B计算点(x2,y2) = d2Q1,由于椭圆曲线上是可以满足乘法交换和结合律,所以 d1Q2 = d1d2G = d2d1G = d2Q1 ,因此双方的 x 坐标是一样的,所以它是共享密钥,也就是会话密钥。4、客户端和服务端分别使用工作密钥,计算主密钥,客户端随机数,服务端随机数,字符串常量"key expansion",经PRF计算生成工作密钥。工作密钥包括加密密钥和校验密钥,具体密钥长度由选择的密码算法决定。客户端支持的压缩算法列表。
nginx SSL证书配置(双向认证)
weixin_33674976的博客
10-18 1268
2019独角兽企业重金招聘Python工程师标准>>> ...
nginx 国密ssl
05-30
要在 Nginx 中使用国密 SSL,需要使用支持国密算法的 SSL 库,例如 GmSSL。您需要按照以下步骤进行设置: 1. 安装 GmSSL 库,并将其路径添加到系统环境变量中。 2. 生成国密 SSL 证书和密钥。您可以使用 GmSSL 提供的命令行工具来生成。 3. 在 Nginx 配置文件中指定国密 SSL 证书和密钥的路径,以及使用的 SSL 协议和加密算法。 下面是一个示例配置文件: ``` server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/gmsl.crt; ssl_certificate_key /path/to/gmsl.key; ssl_protocols TLSv1.3; ssl_ciphers GM1:GM2:GM3; } ``` 请注意,国密 SSL 目前仍处于实验阶段,可能会遇到一些问题。因此,使用国密 SSL 时需要特别注意安全性和稳定性。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值