openSSL编程

最新推荐文章于 2022-10-17 18:06:50 发布
最新推荐文章于 2022-10-17 18:06:50 发布
阅读量1.4k 收藏 11
点赞数
分类专栏: openSSL学习 文章标签: ssl https 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dongyoubin/article/details/117337221
版权

目录

1、ssl服务初始化

2、服务端初始化

3、客户端初始化

4、封装ssl握手函数

5、封装SSL_read函数

6、封装SSL_write函数

7、demo示例

8、总结与说明

1、ssl服务初始化

void ssl_service_init(void)
{
	//ssl库初始化
    SSL_library_init(); 
    //载入ssl算法
    OpenSSL_add_all_algorithms();
    //载入ssl错误消息
    SSL_load_error_strings();
}

2、服务端初始化

SSL_CTX *ssl_server_init(int verify_type, const char *ca, const char *user_cert, const char *user_key)
{
	//创建SSL_CTX Content Text),兼容 ssl v2 和 v3 版本
    //SSLv2_server_method() v2, SSLv3_server_method() v3
    SSL_CTX *ctx = SSL_CTX_new(SSLv23_server_method());
    if (ctx == NULL) 
    {
        ERR_print_errors_fp(stderr);
        return NULL;
    }

    if (verify_type == SSL_VERIFY_NONE)
    {
    	//单向认证:SSL_VERIFY_NONE 不认证对方
	 	SSL_CTX_set_verify(ctx,SSL_VERIFY_NONE,NULL);   
    }
    else if (verify_type == SSL_VERIFY_PEER)
    {
    	//双向验证
	    //SSL_VERIFY_PEER:要求对证书进行认证,没有证书也会放行
	    //SSL_VERIFY_FAIL_IF_NO_PEER_CERT:要求客户端需要提供证书,但验证发现单独使用没有证书也会放行
    	SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER|SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);
    	//设置信任根证书
	    if (SSL_CTX_load_verify_locations(ctx, ca, NULL) <= 0)
	    {
	        ERR_print_errors_fp(stderr);
	        SSL_CTX_free(ctx);
	        return NULL;
	    }
    }
    else
    {
    	SSL_CTX_free(ctx);
    	return NULL;
    }	

     //载入用户的数字证书,此证书用来发送给客户端,证书里包含有公钥
    if (SSL_CTX_use_certificate_file(ctx, user_cert, SSL_FILETYPE_PEM) <= 0) 
    {
        ERR_print_errors_fp(stderr);
        SSL_CTX_free(ctx);
        return NULL;
    }
    //载入用户私钥
    if (SSL_CTX_use_PrivateKey_file(ctx, user_key, SSL_FILETYPE_PEM) <= 0) 
    {
        ERR_print_errors_fp(stderr);
        SSL_CTX_free(ctx);
        return NULL;
    }
    //检查用户私钥是否正确
    if (!SSL_CTX_check_private_key(ctx)) 
    {
        ERR_print_errors_fp(stderr);
        SSL_CTX_free(ctx);
        return NULL;
    }

    return ctx;
}

3、客户端初始化

SSL_CTX *ssl_client_init(int verify_type, const char *ca, const char *user_cert, const char *user_key)
{
	SSL_CTX *ctx = SSL_CTX_new(SSLv23_client_method());
    if (ctx == NULL) {
        ERR_print_errors_fp(stderr);
        return NULL;
    }

    if (verify_type == SSL_VERIFY_NONE)
    {
		SSL_CTX_set_verify(ctx,SSL_VERIFY_NONE,NULL);
    }
    else if (verify_type == SSL_VERIFY_PEER)
    {
    	SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER|SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);
	    if (SSL_CTX_load_verify_locations(ctx, ca,NULL) <= 0)
	    {
	        ERR_print_errors_fp(stderr);
	        SSL_CTX_free(ctx);
	        return NULL;
	    }

	    if (SSL_CTX_use_certificate_file(ctx, user_cert, SSL_FILETYPE_PEM) <= 0) 
	    {
	        ERR_print_errors_fp(stderr);
	        SSL_CTX_free(ctx);
	        return NULL;
	    }
	    
	    if (SSL_CTX_use_PrivateKey_file(ctx, user_key, SSL_FILETYPE_PEM) <= 0) 
	    {
	        ERR_print_errors_fp(stderr);
	        SSL_CTX_free(ctx);
	        return NULL;
	    }
	    
	    if (!SSL_CTX_check_private_key(ctx)) 
	    {
	        ERR_print_errors_fp(stderr);
	        SSL_CTX_free(ctx);
	        return NULL;
	    }
    }
    else
    {
    	SSL_CTX_free(ctx);
    	return NULL;
    }	

    return ctx;
}

4、封装ssl握手函数

/*
	handshake_type:	1 connect 状态 
					2 accept 状态
 */
SSL *sslDoHandshake(int handshake_type, SSL_CTX *ctx, int fd, int *err_code)
{
    if (ctx == NULL)
	{
		return NULL;
	}
    //基于 ctx 创建一个新的 SSL 句柄
    SSL *ssl = SSL_new(ctx);
	if (!ssl)
	{
		ssl = NULL;
		return NULL;
	}
    //将 socket 加入到 SSL
    if (!SSL_set_fd(ssl, fd))
    {
        SSL_free(ssl);
		ssl = NULL;
		return NULL;
	}

	if (handshake_type == 1)
	{
		//设置 SSL 为 connect 状态 
		SSL_set_connect_state(ssl);
	}
	else if (handshake_type == 2)
	{
		//设置 SSL 为 accept 状态 
    	SSL_set_accept_state(ssl);
	}
	else
	{
		SSL_free(ssl);
		ssl = NULL;
		return NULL;
	}

	int ret, err, cnt = 0;
	
	while ((ret = SSL_do_handshake(ssl)) != 1)
	{
		err = SSL_get_error(ssl, ret);
		if (err == SSL_ERROR_WANT_WRITE || err == SSL_ERROR_WANT_READ)
		{	
			usleep(100*1000);
			cnt++;
			if (cnt == 10)  //防止 SSL_do_handshake 一直失败,无法跳出循环
			{
        		SSL_free(ssl);
				ssl = NULL;
				break;	
			}
			continue;
		}
		else
		{
			*err_code = err;
			//err == 5 SSL_ERROR_SYSCALL 关闭相关资源,重新连接
			
			printf("SSL_do_handshake failed, err_code : %d\n", err);
			ERR_print_errors_fp(stderr);
            SSL_shutdown(ssl);
        	SSL_free(ssl);
			ssl = NULL;
			break;
		}
	}
	
	printf("SSL_do_handshake, ret : %d\n", ret);
    return ssl;	
}

5、封装SSL_read函数

/*
 	SSL_read(SSL *ssl,char *buf,int num)
	正常:返回1到num个字节数
	错误:返回0或负数
*/
int sslRead(SSL *ssl, int fd, char *buf, int len, int timeout)
{
	if (ssl == NULL)
	{
		return -1;
	}
	
	int err, res, ret, bytes = 0, cnt = 0;
    fd_set rfds;  
    struct timeval tv;  
    
    if (timeout > 0)
	{
	    FD_ZERO(&rfds);  
    	FD_SET(fd, &rfds); 
	}

	do
	{	
        if (timeout > 0)
		{
			tv.tv_sec = timeout/1000;  
	    	tv.tv_usec = timeout%1000;  
			ret = select(fd + 1, &rfds, NULL, NULL, &tv); 
			if (ret == 0)
			{
				printf("time out\n");
				return -2;
			}
			else if (ret < 0)
			{
				return -1;
			}

			if(!FD_ISSET(fd,&rfds))
			{
				return -1;
			}
		}	
	
		res = SSL_read(ssl, buf + bytes, len);
		if (res >= 1)
		{
			cnt = 0;
			bytes += res;
            len -= res;
		}
		else
		{
			err = SSL_get_error(ssl, res);
			if (err == SSL_ERROR_WANT_READ)
			{
				usleep(100*1000);
				cnt++;
				if (cnt == 5)
				{
					return -2;
				}	
				continue;
			}
			else
			{
				printf("ssl read failed...\n");
            	ERR_print_errors_fp(stderr); 

				if (err == SSL_ERROR_SYSCALL)  //可能是对方已经关闭连接,因此要关闭相关资源,重新连接
				{
					return -5;
				}
				
            	return -1;
			}	
		}	
	}
	while(len > 0 && SSL_pending(ssl));   //SSL_pending(ssl)返回可读的ssl数据字节数
	
	return bytes;
}
注:当返回0时,可能是SSL_pending的问题导致未进入循环,应再次调用sslRead

6、封装SSL_write函数

/*
 	SSL_write(SSL *ssl,const char *buf,int num)
	正常:返回1到num个字节数
	错误:返回0或负数
*/
int sslWrite(SSL *ssl, char *buf, int len)
{
	if (ssl == NULL)
	{
		return -1;
	}
	
	int err, res, bytes = 0, cnt = 0;

	while(len > 0)
	{
        res = SSL_write(ssl, buf + bytes, len);	
        if (res >= 1)
		{
			cnt = 0;
			bytes += res;
            len -= res;
		}
		else
		{
			err = SSL_get_error(ssl, res);
			if (err == SSL_ERROR_WANT_WRITE)
			{
				usleep(100*1000);
				cnt++;
				if (cnt == 5)
				{
					return -2;
				}	
				continue;
			}
			else
			{
				printf("ssl write failed...\n");
            	ERR_print_errors_fp(stderr); 

				if (err == SSL_ERROR_SYSCALL) //可能是对方已经关闭连接,因此要关闭相关资源,重新连接
				{
					return -5;
				}

            	return -1;
			}	
		}
	}

	printf("ssl write, bytes:%d\n", bytes);
	return bytes;
}

7、demo示例

int main(int argc, char const *argv[])
{
	//客户端demo流程
	/*
	ssl_service_init
	ssl_client_init
	创建socket
	sslDoHandshake
	sslRead或sslWrite
	*/

	//服务端demo流程
	/*
	ssl_service_init
	ssl_server_init
	创建socket
	sslDoHandshake
	sslRead或sslWrite
	*/
	return 0;
}

8、总结与说明

8.1、openssl官方函数:https://www.ibm.com/docs/en/ztpf/2021?topic=services-ztpf-cc-apis
8.2、如果移植到设备上运行时出现未知错误,可能是编译openssl时存在问题
8.3、如果出现 SSL_ERROR_SYSCALL,没有重新初始化ssl,将会出现以下问题,导致CPU异常偏高
[ 1954.054545] [drm:rot_client_get_device] *ERROR* wait2start timeout. timeout=5jif, ret=0
[ 1954.074862] [drm:rot_client_exec_fb_sync] *ERROR* wait4finish timeout: 5jif --> 0

——————————————

仅供学习与参考

B!GGer.
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openssl编程-基础知识-OpenSSL堆栈
CHYabc123456hh的博客
07-28 900
openssl编程-基础知识-OpenSSL堆栈
SSL编程- 简单函数介绍
热门推荐
裸奔的蜗牛
12-10 6万+
SSL编程 OpenSSL是一个开放源代码的SSL协议的产品实现,它采用C语言作为开发语言,具备了跨系统的性能。调用OpenSSL的函数就可以实现一个SSL加密的安全数据传输通道,从而保护客户端和服务器之间数据的安全。 头文件: #include #include 基于OpenSSL的程序都要遵循以下几个步骤: (1 ) OpenSSL初始化 在使用Ope
OpenSSL编程
lchunli的专栏
01-02 2072
OpenSSL是一个开放源代码的SSL协议的产品实现,它采用C语言作为开发语言,具备了跨系统的性能。调用OpenSSL  的函数就可以实现一个SSL加密的安全数据传输通道,从而保护客户端和服务器之间数据的安全。头文件:#include #include 基于OpenSSL的程序都要遵循以下几个步骤:(1 ) OpenSSL初始化在使用OpenSSL之前,必须进行相应的协议初始化
OpenSSL ssL_read: Connection was aborted,errno 10053 报错
dccose的博客
10-28 1万+
OpenSSL ssL_read: Connection was aborted,errno 10053 报错 原错误信息: Git: fatal: unable to access 'https://github.com/overwhatx/gittest.git/ : OpenSSL ssL_read: Connection was aborted,errno 10053 解决办法 原因:Git默认限制推送的大小,运行命令更改限制大小即可 增加缓冲 解决办法: git config --globa
SSL双向认证的认证模式设置问题
enjoy.day
11-23 1万+
今天介绍一下SSL双向认证服务器端认证模式的设置,很关键。 初始化ssl时,要使用SSL_CTX_set_verify函数设置验证模式,下面介绍下集中模式: OpenSSL 验证证书模式 OpenSSL 有四种验证证书的模式,这样可以自己根据验证结构来决定应用程序的行为。四种验证模式分别是: SSL_VERIFY_NONE:完全忽略验证证书的结果。当握手必须完成的话,就
openssl编程
11-15
openssl编程》是一本由江南计算技术研究所的赵春平所著的专业书籍,主要针对openssl编程进行深入探讨。作者在硕士研究期间初次接触openssl,通过实际项目经验对openssl的使用有了深入的理解,尤其是在替换globus中...
OPENSSL编程
09-30
**OpenSSL编程** OpenSSL是一个强大的安全套接字层(SSL)和传输层安全(TLS)协议实现,同时也包含了各种加密算法、证书处理以及其他安全功能。这个开源项目为开发者提供了在应用程序中集成加密和安全通信的工具。...
OpenSSL编程手册
05-25
OpenSSL编程手册》是一本深入探讨OpenSSL库使用的专业指南,主要针对那些希望在自己的应用程序中集成加密、安全通信等功能的开发者。OpenSSL是一个强大的安全套接字层(SSL)和传输层安全(TLS)协议实现库,同时...
SSL 服务器与客户端样本代码
白袍小将的博客
08-14 2682
本文为了方便进行SSL编程参考而整理,SSL编程调用的大多数流程就如如下样本代码,通过本样本代码可以比较快的测试SSL相关API。
OPENSSL编程_赵春平
09-02
江南所赵春平前辈的功力之作,openssl编程必看。
OpenSSL编程(三合一版).zip
06-01
第一章 基础知识 81.1 对称算法 81.2摘要算法 81.3 公钥算法 91.4 回调函数 11第二章 openssl简介 132.1 openssl简介 132.2 openssl安装 132.2.1 linux下的安装 132.2.2 windows编译与安装 132.3 openssl源代码 142.4 openssl学习方法 16第三章openssl堆栈 173.1 openssl堆栈 173.2 数据结构 173.3 源码 173.4 定义用户自己的堆栈函数 183.5 编程示例 19第四章 openssl哈希表 214.1 哈希表 214.2 哈希表数据结构 214.3 函数说明 224.4 编程示例 24第五章 openssl内存分配 275.1 openssl内存分配 275.2 内存数据结构 275.3 主要函数 285.4 编程示例 28第六章 Openssl动态模块加载 316.1 动态库加载 316.2 DSO概述 316.3 数据结构 316.4 编程示例 32第七章 openssl抽象IO 357.1 openssl抽象IO 357.2 数据结构 357.3 BIO 函数 367.4 编程示例 377.4.1 mem bio 377.4.2 file bio 377.4.3 socket bio 387.4.4 md BIO 407.4.5 cipher BIO 407.4.6 ssl BIO 417.4.7 其他示例 43第八章 Openssl配置文件 448.1 概述 448.2 openssl配置文件读取 448.3 主要函数 448.4 编程示例 45第九章 Openssl随机数 479.1 随机数 479.2 openssl随机数数据结构与源码 479.3 主要函数 489.4 编程示例 49第十章 Openssl文本数据库 5110.1 概述 5110.2 数据结构 5110.3 函数说明 5210.4 编程示例 52第十一章 Openssl大数 5511.1 介绍 5511.2 openssl大数表示 5511.3 大数函数 5511.4 使用示例 58第十二章 Openssl base64编解码 6512.1 BASE64编码介绍 6512.2 BASE64编解码原理 6512.3 主要函数 6612.4 编程示例 66第十三章 Openssl ASN1库 6913.1 ASN1简介 6913.2 DER编码 7013.3 ASN1基本类型示例 7113.4 openssl 的ASN.1库 7313.5 用openssl的ASN.1库DER编码 7413.6 Openssl的ASN.1宏 7513.7 ASN1常用函数 7613.8 属性证书编码 90第十四章 Openssl错误处理 9414.1 概述 9414.2 数据结构 9414.3 主要函数 9614.4 编程示例 98第十五章 Openssl摘要与HMAC 10115.1 概述 10115.2 openssl摘要实现 10115.3 函数说明 10115.4 编程示例 10215.5 HMAC 103第十六章 Openssl数据压缩 10516.1 简介 10516.2 数据结构 10516.3 函数说明 10616.4 openssl中压缩算法协商 10616.5 编程示例 107第十七章 Openssl RSA 10817.1 RSA介绍 10817.2 openssl的RSA实现 10817.3 RSA签名与验证过程 10917.4 数据结构 10917.4.1 RSA_METHOD 10917.4.2 RSA 11017.5 主要函数 11117.6编程示例 11217.6.1密钥生成
openssl编程指导(中文)
10-10
这是一份中文的openssl手册,里面提供了openssl中包含的加解密、数字签名等的具体应用的例子,可以根据这个来实现自己想要的各种算法、协议。要是看了还不知道怎么使用可以私信我,可以提供帮助。
SSL_read 返回值为0困惑
wdt3385的专栏
11-22 1万+
SSL_read的原型是: int SSL_read(SSL *ssl, void *buf, int num); open ssl的文档这样说: SSL_read是工作在SSL/TLS的记录之上的。数据按照记录来接收的(最大记住是16KB SSLv3/TLS)。只有在一个记录被完整接收之后才会被处理(解密和验证)。因此SSL_read只会在记录数据都读取成功了才能返回数据,否则SSL_re
一文解决OpenSSL SSL_read: Connection was reset, errno 10054问题
念兮为美
10-17 3万+
一文解决OpenSSL SSL_read: Connection was reset, errno 10054问题
openssl下载与安装
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
08-18 9732
可以运行在OpenVMS、 Microsoft Windows以及绝大多数类Unix操作系统上(包括Solaris,Linux,Mac OS X与各种版本的开放源代码BSD操作系统)。是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。虽然此软件是开放源代码的,但其许可书条款与GPL有冲突之处,故GPL软件使用OpenSSL时(如Wget)必须对OpenSSL给予例外。到上面的链接下载OpenSSL Windows版本,注意32位和64位是不同的安装包,.
OpenSSLSSL_CTX_use_PrivateKey_file分析
u012023606的博客
09-04 7757
OpenSSLSSL_CTX_use_PrivateKey_file分析 本系列OpenSSL使用的代码版本为:1.0.2o 前言 本篇文章纯属个人学习的一点经验分享,若有不对之处烦请各位大神现身指点,共同进步。 一、SSL_CTX_use_PrivateKey_file是什么? SSL_CTX_use_PrivateKey_file是openssl中的加载密钥的函数,函数申明为: int SSL_CTX_use_PrivateKey_file(SSL_CTX *ctx, const char
openssl客户端编程:一个不起眼的函数导致的SSL会话失败问题
weixin_45566993的博客
06-28 961
我们目前大部分使用的openssl库还是基于TLS1.2协议的1.0.2版本系列,如果要支持更高的TLS1.3协议,就必须使用openssl的1.1.1版本或3.0版本。升级openssl库有可能会导致SSL会话失败,我在升级 wincurl 时,意外的收获了一个函数。这个函数非常的不起眼,但具有的现实意义却很大。 大部分情况下如果你不调用该函数,并不影响SSL会话和通信,但有时会被某些服务器拒绝。一旦被拒绝,查找具体的原因将变得非常痛苦。这个函数的意义好比HTTP协议中HOST字段,它和NGINX反向代理
openssl编程手册
最新发布
12-08
"openssl编程手册" 本文档主要围绕OpenSSL编程进行深入探讨,作者赵春平在实际工作中使用OpenSSL进行网格安全研究以及属性证书编解码工作,通过不断学习和实践,逐步熟悉并掌握OpenSSL的诸多功能。OpenSSL是一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值