websocket 之 SSL连接相关

最新推荐文章于 2024-07-20 14:05:19 发布
最新推荐文章于 2024-07-20 14:05:19 发布
阅读量3.6k 收藏 7
点赞数 2
分类专栏: 软件工程 *(^_^)/*
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjqqschoolqq/article/details/88952992
版权

SSL连接相关

MQTT and Websockets

paho.mqtt.c

ssl_opts.CApath = opts.capath; //指向一个包含PEM格式的CA证书的目录。
ssl_opts.keyStore = opts.cert; //客户机的公共证书链。它还可以包括客户机的私钥。
ssl_opts.trustStore = opts.cafile; //客户端信任的公共数字证书。
ssl_opts.privateKey = opts.key; //客户机私钥的PEM格式的文件
ssl_opts.privateKeyPassword = opts.keypass; //客户端私钥的密码(如果加密)

/** samples/paho_c_sub.c **/
if (opts.connection && (strncmp(opts.connection, "ssl://", 6) == 0 ||
			strncmp(opts.connection, "wss://", 6) == 0))
	{
		if (opts.insecure)
			ssl_opts.verify = 0;
		ssl_opts.CApath = opts.capath;
		ssl_opts.keyStore = opts.cert;
		ssl_opts.trustStore = opts.cafile;
		ssl_opts.privateKey = opts.key;
		ssl_opts.privateKeyPassword = opts.keypass;
		ssl_opts.enabledCipherSuites = opts.ciphers; //密码列表格式
		conn_opts.ssl = &ssl_opts;
	}

libwebsockets

Server

struct lws_context_creation_info info;
	info.ssl_ca_filepath=""; /*CA根证书*/
	info.ssl_cert_filepath=""; /*服务器公钥证书 */
	info.ssl_private_key_filepath=""; /*服务器的私钥*/
	info.ssl_cipher_list = "ECDHE-ECDSA-AES256-GCM-SHA384:"
			       "ECDHE-RSA-AES256-GCM-SHA384:"
			       "DHE-RSA-AES256-GCM-SHA384:"
			       "ECDHE-RSA-AES256-SHA384:"
			       "HIGH:!aNULL:!eNULL:!EXPORT:"
			       "!DES:!MD5:!PSK:!RC4:!HMAC_SHA1:"
			       "!SHA1:!DHE-RSA-AES128-GCM-SHA256:"
			       "!DHE-RSA-AES128-SHA256:"
			       "!AES128-GCM-SHA256:"
			       "!AES128-SHA256:"
			       "!DHE-RSA-AES256-SHA256:"
			       "!AES256-GCM-SHA384:"
			       "!AES256-SHA256";

case LWS_CALLBACK_OPENSSL_PERFORM_CLIENT_CERT_VERIFICATION:
	{
		X509 *cert;

		if (!len || (SSL_get_verify_result((SSL*) in) != X509_V_OK))
		{
			int err = X509_STORE_CTX_get_error((X509_STORE_CTX*) user);
			int depth = X509_STORE_CTX_get_error_depth((X509_STORE_CTX*) user);
			const char* msg = X509_verify_cert_error_string(err);
			log_d(": SSL error: %s (%d), depth: %d\n", msg, err, depth);
			return 1;
		}

Client

struct lws_context_creation_info info;
struct lws_context *context = NULL;
struct lws_user_client user;

memset(&user, 0, sizeof(user));
memset(&info, 0, sizeof info);

info.port = CONTEXT_PORT_NO_LISTEN;
info.gid = -1;
info.uid = -1;
info.user = &user;
info.protocols = protocols;

nlogd("use ssl\n");
//info.options |= LWS_SERVER_OPTION_REQUIRE_VALID_OPENSSL_CLIENT_CERT;
//info.options |= LWS_SERVER_OPTION_DISABLE_OS_CA_CERTS;
info.options |= LWS_SERVER_OPTION_DO_SSL_GLOBAL_INIT;

if (access("./ssl_key/ca.crt", F_OK) != 0)
	nloge("ca crt not exists\n");

const char *ssl_ca_filepath = "./ssl_key/ca.crt";
const char *ssl_cert_filepath = "./ssl_key/client.crt";
const char *ssl_private_key_filepath = "./ssl_key/client_rsa_private.pem";

info.ssl_ca_filepath = ssl_ca_filepath;
info.ssl_cert_filepath = ssl_cert_filepath;
info.ssl_private_key_filepath = ssl_private_key_filepath;
	
struct lws_client_connect_info i;
memset(&i, 0, sizeof(i));

i.path = "/aa";
i.address = "192.168.0.81";
i.port = 2000;
i.context = context;
i.host = "SERVER"; //注意这里,必须写成服务器证书里面的CN=
i.origin = "CA";
i.ietf_version_or_minus_one = -1;
i.protocol = protoname;
i.ssl_connection = 1;

// 下面的调用触发LWS_CALLBACK_PROTOCOL_INIT事件
wsi = lws_client_connect_via_info(&i);
....

关于QT

  connect(socket, SIGNAL(connected()), this, SLOT(onConnected()));
  //sslErrors 一定要设置
  connect(socket, SIGNAL(sslErrors(QList<QSslError>)), this, SLOT(onSslErrors(QList<QSslError>)));

    /*识别服务器证书是否合法*/
#if 0
    QList<QSslCertificate> cacert = QSslCertificate::fromPath("G:\\openssl-key\\cacert.crt", QSsl::Pem);
    //QList<QSslCertificate> cacert = QSslCertificate::fromPath("G:\\openssl-key\\single.server.crt", QSsl::Pem); //err

    QFile certFile(QString("G:\\openssl-key\\client.crt"));
    certFile.open(QIODevice::ReadOnly);
    QFile keyFile(QString("G:\\openssl-key\\client.key.pem"));
    keyFile.open(QIODevice::ReadOnly);
    QSslCertificate certs = QSslCertificate(certFile.readAll(), QSsl::Pem);
    QSslKey key= QSslKey(keyFile.readAll(), QSsl::Rsa, QSsl::Pem, QSsl::PrivateKey);

    //The certificate is self-signed, and untrusted
    QSslConfiguration config;
    config.setCaCertificates(cacert);
    config.setLocalCertificate(certs);
    config.setPrivateKey(key);
    //config.setPeerVerifyMode(QSslSocket::VerifyNone);
    config.setProtocol(QSsl::TlsV1SslV3);
#else
    //The host name did not match any of the valid hosts for this certificate
    //openssl req -newkey rsa:2048 -nodes -keyout single.server.key.pem -x509 -days 365 -out single.server.crt -subj "/C=CN/ST=GD/L=SZ/O=hh/OU=dev/CN=192.168.2.130/emailAddress=aa@aa.com"
    QList<QSslCertificate> cacert = QSslCertificate::fromPath("G:\\openssl-key\\single.crt", QSsl::Pem);
    QSslConfiguration config;
    config.setCaCertificates(cacert);
    config.setProtocol(QSsl::TlsV1SslV3);
#endif

QT运行SSL需要 libeay32.dll和ssleay32.dll:
C:\Qt\Qt5.8.0\Tools\QtCreator\bin下的 libeay32.dll 和 ssleay32.dll 库复制到C:\Qt\Qt5.8.0\5.8\msvc2015_64\bin下。

单向认证:只需要验证SSL服务器身份,不需要验证SSL客户端身份。
双向认证:要求服务器和客户端双方都有证书,客户端需要校验服务端,服务端也需要校验客户端。

openssl生成证书

生成 RSA 私钥和自签名证书

#生成私钥与证书
openssl req -newkey rsa:2048 -nodes -keyout rsa_private.pem -x509 -days 365 -out cert.crt -subj "/C=CN/ST=GD/L=SZ/O=hh/OU=dev/CN=192.168.2.130/emailAddress=aa@aa.com"

#生成私钥
openssl genrsa -out privkey.pem 2048
#生成证书(含公钥)-已有key
openssl req -new -x509 -key privkey.pem -out cacert.crt -days 3650

这样便可以做单向认证,自己使用 privkey.pem 提供 cacert.crt 给其他人使用

#查看证书信息
openssl req -noout -text -in cacert.crt


#生成根证书私钥( cakey.pem 文件)                                                                                                   
openssl genrsa -out cakey.pem 2048                                                
#生成根证书签发申请文件( ca.csr 文件)                                                                                           
openssl req -new -key cakey.pem -out ca.csr -subj  "/C=CN/ST=GD/L=SZ/O=hh/OU=dev/CN=192.168.2.130/emailAddress=aa@aa.com"
#自签发根证书(cer文件) ,依据 ca.csr 和 cakey.pem 生成 cacert.pem                                
openssl x509 -req -days 365 -sha1 -extensions v3_ca -signkey cakey.pem -in ca.csr -out  cacert.pem
######################################################
#服务端私钥和证书
openssl genrsa -out server.key.pem 2048
openssl req -new -key server.key.pem -out server.csr -subj "/C=CN/ST=myprovince/L=mycity/O=myorganization/OU=mygroup/CN=myServer"
#使用根证书签发服务端证书 server.cert.pem
openssl x509 -req -days 365 -sha1 -extensions v3_req -CA cacert.pem -CAkey cakey.pem -CAserial ca.srl -CAcreateserial -in server.csr -out server.cert.pem
#使用CA证书验证server端证书,查看server.cert.pem,得到颁发者为192.168.2.130                                                                                              
openssl verify -CAfile cacert.pem  server.cert.pem
######################################################
#客户端私钥和证书 client.key.pem                                                                                                           
openssl genrsa  -out client.key.pem 2048                                                                                                         
openssl req -new -key client.key.pem -out client.csr -subj "/C=CN/ST=myprovince/L=mycity/O=myorganization/OU=mygroup/CN=myClient"
#使用根证书签发客户端证书 依据 cacert.pem + cakey.pem -> client.cert.pem                                                                                                 
openssl x509 -req -days 365 -sha1 -extensions v3_req -CA  cacert.pem -CAkey cakey.pem  -CAserial ca.srl -in client.csr -out client.cert.pem
#使用CA证书验证客户端证书                                                                                                  
openssl verify -CAfile cacert.pem  client.cert.pem

cakey.pem cacert.pem ca.csr ca.srl
client.cert.pem client.csr client.key.pem
server.cert.pem server.csr server.key.pem
其中client.csr与server.csr只作用于证书申请功能需要CA证书颁发


#1,CA证书
openssl req -newkey rsa:2048 -nodes -keyout ca_rsa_private.pem -x509 -days 365 -out ca.crt -subj "/C=CN/ST=GD/L=SZ/O=COM/OU=NSP/CN=CA/emailAddress=aaaa@qq.com"

#2,服务器私钥与待签名
openssl req -newkey rsa:2048 -nodes -keyout server_rsa_private.pem  -out server.csr -subj "/C=CN/ST=GD/L=SZ/O=COM/OU=NSP/CN=SERVER/emailAddress=aaa@qq.com"

#3,使用CA证书及密钥对服务器证书进行签名
openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca_rsa_private.pem -CAcreateserial -out server.crt

#######
openssl verify -CAfile ca.crt server.crt

#4, client
openssl req -newkey rsa:2048 -nodes -keyout client_rsa_private.pem -out client.csr -subj "/C=CN/ST=GD/L=SZ/O=COM/OU=NSP/CN=CLIENT/emailAddress=youremail@qq.com"

#5 使用CA证书及密钥对客户端证书进行签名:
openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca_rsa_private.pem -CAcreateserial -out client.crt

openssl verify -CAfile ca.crt client.crt

参考链接

https://www.cnblogs.com/Anker/p/6018032.html #基于openssl的单向和双向认证(有问题,双向认证的时候)

https://blog.csdn.net/weixin_34363171/article/details/86005536 注意在服务器做验证客户端证书 SSL_get_verify_result

Qt WebSockets Examples

小雪狼
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WebSocket实战集成SSL(网络安全编程二)
flowerAndJava的博客
11-23 3076
从阿里云服务器购买、域名购买、SSL免费 一 WebSocket实战 1.1 认识WebSocket 上图说明 发送连接请求 客户端通过ws://host:port/ 的请求地址发起WebSocket请求连接。由JavaScript实现 WebSocket API与服务器建立WebSocket连接。host服务器ip,port为端口。 握手 服务器端接受请求后,会解析请求头信息,根据升级协议判断请求是否为WebSocket请求,并取出请求信息中的 Sec-WebSocket-Key字段的数据。按照
Websocket】基于SSLWebsocket局域网聊天管理系统
03-17 983
传统上在客户端在访问服务器时,对客户端的验证采用账号密码的方式,存在着比较大的安全隐患:一方面账号密码有可能泄漏和被破解,一旦账号密码泄漏,那么就可以通过任意客户端访问服务器,导致信息和数据被盗取;局域网的计算机网络联系的地区范围通常不大,例如说在一座办公大楼中,一个工矿企业的一群建筑物和现场中,或者一所大学的中,其范围在几公里或十几公里以内。Vue是一套用于构建用户界面的渐进式框架,自底层向上应用,Vue的核心库只关注视图层,容易入门,可以和第三方库或者已有的项目进行整合,可以做复杂的单页应用。
WebSocket测试软件(可支持SSL)
05-15
WebSocket测试软件(可支持SSL) Host选项不需要填写 ws://或者wss:// 直接填写IP或者域名即可
【Qt开发教程】详解QSslSocket类:安全套接字SSL/TLS网络通信实战指南、示例代码
最新发布
科技改变人类,技术成就未来
07-20 943
QSslSocket 提供了一个强大的接口来实现通过 SSL/TLS 进行安全的网络通信。本文详细介绍了 QSslSocket 的基本功能、常用方法、以及高级应用技巧,并通过实例代码展示了如何使用该类与 SSL 服务器建立安全连接、传输数据以及处理 SSL 错误。通过这些介绍,读者可以更好地掌握和利用 QSslSocket 进行高效的安全网络通信。对于有特殊需求的开发者,也可以通过探索更多高级设置和优化策略,以满足具体的应用场景。
创建 SSL证书并应用于WebSocket
rjcql的专栏
01-11 3075
​上一篇介绍如何使用Fleck创建WebSocket服务器,感觉不够完善,因为生产环境中肯定是需要用到ssl的,而创建或申请ssl证书,相对而言是比较繁琐的事情,特别是本地如果要构建一个使用ssl的测试环境时,就难免要多费一番周折了。 ​
sslwebsocket例子
weixin_33918357的博客
01-03 372
还是在那个websocket_demo的例子 rebar-creator create-app websocket_demo   tree一下看看大概目录 ├── cert │   ├── cowboy-ca.crt │   ├── server.crt │   └── server.key ├── src │   ├── path_helper.erl │   ├...
websocketSSL浅析
热门推荐
chituhuan的专栏
04-27 2万+
1 WebSocket 原理1.1 背景WebSocket 是基于Http 协议的改进,Http 为无状态协议,基于短连接,需要频繁的发起请求,第二 Http 只能客户端发起请求,服务端无法主动请求。1.2 相同点都是基于TCP的应用层协议。 都使用Request/Response模型进行连接的建立。 在连接的建立过程中对错误的处理方式相同,在这个阶段WS可能返回和HTTP相同的返回码。 都可
webscoket server and client via ssl using websockets lib
kylin@world
11-01 96
ssl cert files: generate ssl key and cert files: openssl req -newkey rsa:2048 -nodes -keyout miaowa.key -x509 -days 365 -out miaowa.crt wss server: server code: #!/usr/bin/env python import asyncio import pathlib import ssl import websockets async def
JavaFx webview 加载https网站及Websocket使用SSL连接
weixin_33971977的博客
02-14 1347
为什么80%的码农都做不了架构师?>>> ...
swoole websocket 支持ssl
Archmage的专栏
01-01 5509
上一篇博文中,在成功利用swoole_websocket_server 开启websocket服务之后,遇到一个问题,大多数web都是https的,特别是涉及到安全性比较高,设计互联网金融、数字货币的时候,https都是必须的。这时候,因为安全问题,ws://连接会被禁止。 1. 安装swoole的openssl支持。重新编译安装swoole源码,加上--enable-openssl%PHP_BIN
java websocket ssl_websocket 配置 https 连接
05-31
你需要在你的服务器端点配置SSL连接。这是一个示例代码,你可以根据你的需要进行修改: ``` SSLContext sslContext = SSLContext.getInstance("TLS"); KeyManagerFactory keyManagerFactory = KeyManagerFactory....
netty服务端及客户端,支持HTTP和WEBSOCKETSSL
06-02
自己基于netty开发的服务端,支持spring配置服务器启动模式:http,websocket,ssl等,并支持NIO和OIO方式,项目已应用于生产,可以通过jar形式加入其它项目,业务类实现业务service,启动不依赖于其他应用服务器,内附启动脚本。 已在生产使用,压力未测试,欢迎反馈。 个人原创,部分代码参考网上其他文献。
Websocketpp实现自己的web服务器
11-04
使用开源Websocketpp实现自己的web服务器,实例代码主要介绍了对客户端基本几种请求的处理。
websocket使用ssl 证书,开启加密服务
weixin_30782331的博客
03-30 1538
参考文章:https://fzambia.gitbooks.io/centrifugal/content/deploy/certificates.html TLS certificates TLS/SSL layer is very important not only for securing your connections but also to increase a chance...
java websocket ssl_带sslwebsocket例子
weixin_39752800的博客
02-24 444
还是在那个websocket_demo的例子rebar-creator create-app websocket_demotree一下看看大概目录├── cert│ ├── cowboy-ca.crt│ ├── server.crt│ └── server.key├── src│ ├── path_helper.erl│ ├── route_helper.erl│ ├── ...
php ssl websocket,Swoole WebSocket开启SSL支持 使用wss连接
weixin_39874795的博客
03-17 615
首先要申请SSL证书,必须为pem格式。如图为宝塔环境所申请Let's Encrypt免费证书的所在位置:imageLinux安装openssl支持:yum install -y openssl移到Swoole安装包目录,重新编译安装,并加入openssl支持:(相关文章:Linux下源码包安装Swoole及基本使用)$ sudo /usr/bin/phpize # 如果不知道路径,请使用find...
gin开发WebSocket并开启SSL
clearloe的博客
06-16 504
这段时间工作需求用到实现双工通信,因此选择WebSocket来开发,简单记录一下。
netty-websocket服务器配置阿里云SSL证书安全访问配置,亲测有效
qq_53058639的博客
03-01 1269
背景:java 微服务包括https访问和websocket访问,当https接口访问ws请求时报错,因为https能访问wss。申请阿里云免费证书后,搜索各种教程比如nginx配置方式、netty访问证书等。走了不少弯路,终于走通一种。关键点:1、因为使用了netty,nginx配置wss的方式没有走通。需要将证书放到netty启动的方式启动才可以。2、网上教程大多数是pkcs12的证书生成方式。但是netty仅仅支持pkcs8 的版本,所以需要生成pkcs12之后再转pkcs8.
tp5 think-swoole websocket开启ssl wss可以请求
weixin_42871061的博客
05-26 684
新开发发的项目用户端是公众号和小程序,小程序只支持wss链接,以下是我的开启wss的方法,以及过程中遇到的一些问题(主要是我菜) 首先需要有证书,我用的是宝塔面板申请的免费证书,宝塔申请的免费证书路径在/etc/letsencrypt/live/,会列出来所有申请了免费证书的网站,公司服务器就不放截图了。一定要记住这个路径,后面用得到。然后是swoole需要开启openssl,我的是宝塔面板安装的swoole好像默认是开启的,查资料的时候发现有的不是默认开启的需要重新安装编译,如果需要手动编译安装可以查看比
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值