ESP8266 RTOS 下 Openssl 证书及使用和 Fragment 介绍

于 2018-03-18 20:16:11 发布
阅读量3k 收藏 5
点赞数
分类专栏: 网络/协议 (Network/Protocols)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/espressif/article/details/79603831
版权

1 简介

本文主要介绍基于 ESP8266_RTOS_SDK 的 SSL 加密使用方法,将分别介绍 ESP8266 作为 SSL client 和 SSL server 的使用方法。

SSL 功能需要占用大量内存,请开发者在上层应用程序确保内存足够。在将 SSL fragment 设置为 8KB 以及证书用 private key RSA2048 的情况下, SSL 双向认证功能需要 30KB 的空间,由于服务器的证书大小不同,所需空间可能更大。

为使 SSL/TLS 更加安全,ESP8266_RTOS_SDK openssl 默认仅支持 RSA2048 以及以上的 private key 生成的证书。 见Asymmetric algorithm key lengths

本文所用的 SDK:ESP8266_RTOS_SDK: Version 1.5.0

2 准备工作

2.1 openssl 库

本示例可以用两块 ESP8266 分别作为 openssl client 以及 server,也可以用一块 ESP8266 作为 client/server, 用电脑作为 server/client。如果用电脑作为 client/server,需安装 openssl 库:

sudo apt-get install openssl

2.2 证书生成

本文中所用的证书脚本为gencrt.sh genheader.sh,这两个脚本会生成 ca.crt,client.crt,client.key,server.crt,server.key,ssl_client_crt.h,ssl_server_crt.h。

ca.crt 为 CA 证书,用于校验 server.crt 以及 client.crt。
ssl_client_crt.h 为 ca.crt、client.crt、client.key 生成的数组文件。
ssl_server_crt.h 为 ca.crt、server.crt、server.key 生成的数组文件。

如果用户想使用自己的证书,请先阅读SSL-TLS 双向认证(一) – SSL-TLS工作原理

3 ESP8266 作为 SSL client

在 Ubuntu 端运行 openssl s_server -CAfile ca.crt -cert server.crt -key server.key -verify 1 -tls1_1 -accept 443其中 ca.crt、server.crt 以及 server.key 为附件 gencrt.sh 生成的证书。

下载源码

修改 openssl_demo.c 的以下两行,将地址改为电脑 IP 地址:

#define OPENSSL_DEMO_TARGET_NAME "192.168.3.196"

#define OPENSSL_DEMO_TARGET_TCP_PORT 443

修改 user_config.h 的以下两行,改为本地可用 Wi-Fi:

#define SSID "HUAWEI001"

#define PASSWORD ""

让电脑与 ESP8266 处于同一局域网内,编译下载固件。

4 ESP8266 作为 SSL server

下载源码

修改 user_config.h 的以下两行,改为本地可用 Wi-Fi:

#define SSID "HUAWEI001"

#define PASSWORD ""

编译下载固件,并让电脑与 ESP8266 处于同一局域网内。

根据 ESP8266 串口 log 获得 ESP8266 的 IP 地址 192.168.3.6。

在Ubuntu端运行 openssl s_client -CAfile ca.crt -cert client.crt -key client.key -verify 1 -tls1_1 -host 192.168.3.6 -port 443

192.168.3.6 为 ESP8266 的 IP 地址 ca.crt client.crt ca.key 为附件 gencrt.sh 生成的证书。

5 软件接口

本节主要介绍 openssl 证书认证相关接口,更多软件接口介绍,请参考 ESP8266 编程手册 ESP8266__RTOS_SDK_API Reference.pdf

5.1 头文件

#include "openssl/ssl.h"

5.2 函数

5.2.1 SSL_CTX* SSL_CTX_new(const SSL_METHOD *method)

功能:根据用户所需要的 SSL/TLS 协议版本创建 SSL context。

返回:已经设定好的 SSL context。

参数: const SSL_METHOD *method

    设置用于数据交换协议版本。

    TLSv1_client_method
    TLSv1_1_client_method
    SSLv3_client_method
    SSLv23_client_method
    TLSv1_server_method
    TLSv1_1_server_method
    SSLv3_server_method
    SSLv23_server_method

5.2.2 X509* d2i_X509(X509 **cert, const unsigned char *buffer, long len)

功能:将crt证书文件转换为 _x509_ctx 格式的结构体。

返回:crt文件转换后的 X509 结构指针。

参数:

X509 **cert: crt 文件转换后的 X509 格式的 context ,需要在外部分配存储空间,建议传入 NULL。。

const unsigned char *buffer: 字符串数组,crt 文件原始格式。

long len: buffer 长度。

5.2.3 int SSL_CTX_add_client_CA(SSL_CTX *ctx, X509 *x)

功能:添加用于校验对端的 CA 证书,ESP8266 作为 server 时也是用此函数添加 CA 证书。

返回:0-失败, 1-成功

参数:

SSL_CTX *ctx: SSL context。

X509 *x: CA 证书转换后的 X509 结构指针。

5.2.4 int SSL_CTX_use_certificate_ASN1(SSL_CTX *ctx, int len, const unsigned char *d)

功能:添加 client/server 本地证书。

返回:0-失败, 1-成功

参数:

SSL_CTX *ctx: SSL context。

len: cert长度。

const unsigned char *d: cert 数据。

5.2.5 int SSL_CTX_use_PrivateKey_ASN1(int type, SSL_CTX *ctx, const unsigned char *d, long len)

功能:添加对应 4.4 节证书的本地私钥。

返回:0-失败, 1-成功

参数:

type: 未使用,可传入 NULL。

SSL_CTX *ctx: SSL context。

len: private key 长度。

const unsigned char *d: private key 数据。

5.2.6 void SSL_CTX_set_verify(SSL_CTX *ctx, int mode, int (*verify_callback)(int, X509_STORE_CTX *))

功能:设定是否校验方式,比如是否校验对端证书。

参数:

SSL_CTX *ctx: SSL context。

int mode: 校验方式,可以设置为 SSL_VERIFY_NONESSL_VERIFY_PEER

int (*default_verify_callback) (int ok, X509_STORE_CTX *ctx): 校验结果,用户自定义回调函数。

5.2.7 void SSL_CTX_set_default_read_buffer_len(SSL_CTX *ctx, size_t len)

功能:设定SSL fragment 长度,参见第 6 节 fragment 介绍。

参数:

SSL_CTX *ctx: SSL context。

size_t len: 根据证书长度以及传递秘文长度设定。

6 fragment 介绍

fragment 是指 openssl 在建立SSL/TLS连接握手过程中证书验证以及交换数据时加解密数据的缓存大小。

TLS 协议支持的 fragment 最大是 16K(RFC2246)。由于嵌入式系统RAM资源比较珍贵(ESP8266 本身 RAM 空间比较小),以及嵌入式系统在正常使用时很少用到大文件加解密,所以 ESP8266_RTOS_SDK 以及 ESP8266_NONOS_SDK 中开放 fragment 设定接口 SSL_CTX_set_default_read_buffer_len 和 espconn_secure_set_size,以节省资源。

fragment 大小主要由芯片 RAM 大小、证书、传输单笔数据(对这笔数据整体进行加密)的最大长度决定(传输单笔数据的最大长度 < fragment < RAM 大小)。

ESP8266_RTOS_SDK(openssl lib) 中设定范围为 2048 - 8192 Bytes

在传输的单笔数据较小的情况下,证书大小主要由私钥长度决定,使用不同的私钥长度生成的证书所需的 fragment 大小建议值:

私钥长度fragment 推荐值
RSA20482048
RSA30723072
RSA40964096
乐鑫科技 Espressif
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
博客
乐鑫 ESP RainMaker® 系列文章
10-18 447
​乐鑫科技 (688018.SH) 的 ESP RainMaker 为构建物联网生态提供了一个完整的云解决方案,打通了底层硬件(芯片和模组)、软件生态(ESP-IDF 物联网操作系统、Matter、语音助手、HMI 等)、云后端(基于 AWS 搭建)、移动端 APP、设备管理看板全链路,建立了一套开放、灵活、可私有部署的云基础设施。客户无需额外开发与维护,就能够便捷地基于 ESP RainMaker 现有资源构建物联网产品,以较低的投资成本、较少的研发投入、较短的时间探索产品多样性,并实现迭代。
博客
乐鑫 ESP-Mesh-Lite:轻松覆盖更大范围,连接更多设备
09-08 962
创新性的 Wi-Fi Mesh 组网方案,使设备数量和覆盖区域不再受路由器容量和位置限制。
博客
抢先体验|乐鑫推出 ESP32-S3-BOX-3 新一代开源 AIoT 开发套件
08-25 6859
打造新项目原型或构建复杂物联网系统的绝佳工具。欢迎前往乐鑫淘宝店铺购买!
博客
乐鑫 Matter 系列文章
01-12 4399
随着人们对智能家居互联协议 Matter 的热情日益高涨,乐鑫工程师推出 Matter 系列博客,从多方面介绍并讨论 Matter 协议。
博客
线下研讨会 & 技术沙龙|乐鑫芯片与 ESP RainMaker® 为科技初创企业赋能
05-11 690
6 月 5-6 日 12:45,现场名额有限,欢迎提前报名锁定席位!
博客
通过 QEMU 试用 ESP32-C3 的安全功能
04-25 775
ESP32-C3 系列芯片支持可信启动、flash 加密、安全存储等多种安全功能,还有专用外设来支持 HMAC 和数字签名等用例。这些功能所需的私钥和配置大多存储在 ESP32-C3 的 eFuse 存储器中。启用安全功能时需要谨慎,因为使用到的 eFuse 存储器是一次性可编程存储器,烧写过程不可逆,安全功能最好先在试验场(比如模拟器)中测试,然后再转移到真实硬件上。本文讨论了如何在 QEMU(模拟器)中试用 ESP32-C3 中的不同安全功能。
博客
乐鑫科技收购创新硬件公司 M5Stack 控股权
04-22 424
这一战略举措对于物联网和嵌入式系统领域的两家公司来说都是一个重要的里程碑,也契合了乐鑫和 M5Stack 共同推动 AIoT 技术民主化的愿景。
博客
乐鑫发布 ESP32-H4:支持 802.15.4 和 Bluetooth 5.4 (LE) 的低功耗 SoC
04-11 932
ESP32-H4 在功耗、连接性能和内存扩展能力方面显著升级,可满足市场对低功耗无线设备日益增长的需求。芯片对最新 Bluetooth 5.4 (LE) 的支持也标志着乐鑫在自研低功耗蓝牙芯片领域的重大技术突破,将带来更丰富的应用可能性。
博客
乐鑫将携创新技术方案亮相嵌入式展 Embedded World 2024!
04-02 570
详解高性能 ESP32-P4,现场体验 ESP32-C5 和 ESP32-C61的 Wi-Fi 6 特性,更有丰富的私有云、Matter、HMI 和语音方案。
博客
3 月 4 日-5 月 3 日|2024 乐鑫全球开发者大会演讲征集中!
03-04 247
DevCon24 将是您展现专业知识的绝佳机会!欢迎提交您的提案,加入我们,共创科技的未来。
博客
【USB 方案研讨会回顾】|探索 USB 方案在 ESP32 系列芯片的应用
03-01 271
本研讨会聚焦于 USB 在乐鑫 ESP32 系列芯片中的创新应用。乐鑫技术专家以 USB 的标准和定义为切入点,就乐鑫 USB 外设及方案进行了详细的介绍,并展示了部分乐鑫 USB 方案 Demo 的功能与应用。如果您希望了解更多乐鑫 USB 方案的技术特点和应用领域,欢迎观看研讨会的视频回放了解详情。
博客
书籍推荐|《使用 ESP32 开发物联网项目(第二版)》
02-29 552
​随着物联网技术的迅猛发展,ESP32 因其强大的功能而备受物联网开发者的青睐。在此背景下,资深物联网专家 Vedat Ozan Oner 撰写的《使用 ESP32 开发物联网项目(第二版)》,为开发者提供了全面且深入的指南读物。
博客
线上研讨会|乐鑫 USB 方案赋能设备畅连、数据速递
02-21 923
乐鑫科技 (688018.SH) 宣布推出一系列,旨在为用户提供方便快捷的设备互连和数据传输方式。方案基于乐鑫 SoC(ESP32-S、ESP32-C、ESP32-P 系列),充分利用其标配外设之一 USB,通过支持 USB 2.0 OTG (On-The-Go) 或 USB-Serial-JTAG 接口,满足用户对主机 (Host) 和设备 (Device) 两种模式的多样需求。USB 2.0 OTG 技术使设备可以在主机和设备模式之间自由切换,实现了灵活而高效的连接方式;
博客
Arduino 推出基于乐鑫 ESP32-S3 的 STEM 教育机器人
02-01 811
Arduino Alvik 是基于乐鑫 ESP32-S3 开发,能够在 MicroPython 运行的一款功能丰富的小型机器人,适用于教育等领域。
博客
乐鑫与 Elektor 杂志合作推出特刊,聚焦 AIoT 创新
01-31 598
由乐鑫领衔编辑的 Elektor 杂志特刊已于近期出版,涵盖丰富的乐鑫项目和教程,旨在激发读者的创新灵感。
博客
Wi-Fi 6 超值畅享|乐鑫发布 ESP32-C61 SoC
01-08 1020
ESP32-C61 集成 2.4 GHz Wi-Fi 6 和 Bluetooth 5 (LE),支持 Matter,具备优化的外设、强化的连接性能和更大的存储选项,将在性能方面带来显著提升。
博客
CES 2024 倒计时|乐鑫多款 SoC 首度揭秘,丰富 AIoT 方案等你解锁!
12-29 545
乐鑫科技 (688018.SH) 将携多款全新芯片 (ESP32-P4, ESP32-H4, ESP32-C61, ESP32-C5)、乐鑫 Wi-Fi 6 技术、新一代开源 AIoT 开发套件 ESP32-S3-BOX-3、ESP RainMaker 私有云方案、全面的 Matter 互联方案、HMI 和语音方案等重磅亮相 CES 2024,为客户快速构建行业领先且富有竞争力的物联网方案提供全面、专业的支持。这也意味着乐鑫以创新的前沿半导体技术和卓越的产品性能,赢得了全球市场的认可。
博客
基于 ESP32-S3 的 Walter 开发板
12-08 392
该项目是用 KiCad EDA 创建的,同时也完全开源,方便您获取所有硬件文件。此开发板是您使用 ESP32-S3 作为主 MCU,开启 LTE-M、NB-IoT 和 GNSS 应用的绝佳选择。推出了一款基于乐鑫 ESP32-S3 且拥有 5G LTE 连接功能的新型开源开发套件。目前该开发板支持 Arduino 和 ESP-IDF,您可以尝试不同的示例,例如 HTTP、CoAP、MQTT 等。|Walter 是一款基于 ESP32-S3 且拥有 5G LTE 连接功能的新型开源开发套件。
博客
ESP Multi-Room Music 方案:支持音频实时同步播放 实现音乐互联共享
11-28 618
ESP Multi-Room Music 方案使用乐鑫自研的基于 Wi-Fi 局域网的音频同步播放技术,支持音频设备间低延时自动校准,打造影院级立体声环绕系统。
博客
乐鑫推出 ESP ZeroCode ExL 模组
11-27 190
乐鑫推出 ESP ZeroCode ExL 模组,由 AWS IoT ExpressLink 提供支持,可简化用户构建兼容 Matter 的云连接设备。为简化 Matter 设备的开发,乐鑫在年初。ESP ZeroCode 模组非常适合一些简单设备进行 Matter 连接,例如照明设备、开关、插座、百叶窗控制器以及传感器等。您可以使用 ESP ZeroCode 控制台来配置、评估和订购 ESP ZeroCode 模组。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值