openssl双向验证

最新推荐文章于 2022-11-01 20:50:03 发布
最新推荐文章于 2022-11-01 20:50:03 发布
阅读量750 收藏
点赞数
分类专栏: unix网络编程 openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fjgui/article/details/51027118
版权

接上文生成证书之后,双向验证c/s ssl通信

源代码来源openssl

服务端源代码:serv.cpp

/* serv.cpp  -  Minimal ssleay server for Unix
   30.9.1996, Sampo Kellomaki <sampo@iki.fi> */


/* mangled to work with SSLeay-0.9.0b and OpenSSL 0.9.2b
   Simplified to be even more minimal
   12/98 - 4/99 Wade Scholine <wades@mail.cybg.com> */

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <memory.h>
#include <errno.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <netdb.h>

#include <openssl/rsa.h>       /* SSLeay stuff */
#include <openssl/crypto.h>
#include <openssl/x509.h>
#include <openssl/pem.h>
#include <openssl/ssl.h>
#include <openssl/err.h>


/* define HOME to be dir for key and cert files... */
#define HOME "./"
/* Make these what you want for cert & key files */
#define CA HOME "ca.crt"
#define CERTF  HOME "server.crt"
#define KEYF  HOME  "server.key"


#define CHK_NULL(x) if ((x)==NULL) exit (1)
#define CHK_ERR(err,s) if ((err)==-1) { perror(s); exit(1); }
#define CHK_SSL(err) if ((err)==-1) { ERR_print_errors_fp(stderr); exit(2); }

int main ()
{
  int err;
  int listen_sd;
  int sd;
  struct sockaddr_in sa_serv;
  struct sockaddr_in sa_cli;
  socklen_t  client_len;
  SSL_CTX* ctx;
  SSL*     ssl;
  X509*    client_cert;
  char*    str;
  char     buf [4096];
  //SSL_METHOD *meth;
  
  /* SSL preliminaries. We keep the certificate and key with the context. */

  SSL_load_error_strings();
  SSLeay_add_ssl_algorithms();
  //meth = SSLv23_server_method();
  ctx = SSL_CTX_new (SSLv23_server_method());
  if (!ctx) {
    ERR_print_errors_fp(stderr);
    exit(2);
  }
 SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);   
  SSL_CTX_load_verify_locations(ctx, CA, NULL);
  if (SSL_CTX_use_certificate_file(ctx, CERTF, SSL_FILETYPE_PEM) <= 0) {
    ERR_print_errors_fp(stderr);
    exit(3);
  }
  if (SSL_CTX_use_PrivateKey_file(ctx, KEYF, SSL_FILETYPE_PEM) <= 0) {
    ERR_print_errors_fp(stderr);
    exit(4);
  }

  if (!SSL_CTX_check_private_key(ctx)) {
    fprintf(stderr,"Private key does not match the certificate public key\n");
    exit(5);
  }

  /* ----------------------------------------------- */
  /* Prepare TCP socket for receiving connections */

  listen_sd = socket (AF_INET, SOCK_STREAM, 0);   CHK_ERR(listen_sd, "socket");
  
  memset (&sa_serv, '\0', sizeof(sa_serv));
  sa_serv.sin_family      = AF_INET;
  sa_serv.sin_addr.s_addr = INADDR_ANY;
  sa_serv.sin_port        = htons (1111);          /* Server Port number */
  
  err = bind(listen_sd, (struct sockaddr*) &sa_serv,
             sizeof (sa_serv));                   CHK_ERR(err, "bind");
             
  /* Receive a TCP connection. */
             
  err = listen (listen_sd, 5);                    CHK_ERR(err, "listen");
  
  client_len = sizeof(sa_cli);
  sd = accept (listen_sd, (struct sockaddr*)&sa_cli, &client_len);
  CHK_ERR(sd, "accept");
  close (listen_sd);

  printf ("Connection from %lx, port %x\n",
          sa_cli.sin_addr.s_addr, sa_cli.sin_port);
  
  /* ----------------------------------------------- */
  /* TCP connection is ready. Do server side SSL. */

  ssl = SSL_new (ctx);                           CHK_NULL(ssl);
  SSL_set_fd (ssl, sd);
  err = SSL_accept (ssl);                        CHK_SSL(err);
  
  /* Get the cipher - opt */
  
  printf ("SSL connection using %s\n", SSL_get_cipher (ssl));
  
  /* Get client's certificate (note: beware of dynamic allocation) - opt */

  client_cert = SSL_get_peer_certificate (ssl);
  CHK_NULL(client_cert);
  if (client_cert != NULL) {
    printf ("Client certificate:\n");
    
    str = X509_NAME_oneline (X509_get_subject_name (client_cert), 0, 0);
    CHK_NULL(str);
    printf ("\t subject: %s\n", str);
    OPENSSL_free (str);
    
    str = X509_NAME_oneline (X509_get_issuer_name  (client_cert), 0, 0);
    CHK_NULL(str);
    printf ("\t issuer: %s\n", str);
    OPENSSL_free (str);
    
    /* We could do all sorts of certificate verification stuff here before
       deallocating the certificate. */
    
    X509_free (client_cert);
  } else
    printf ("Client does not have certificate.\n");

  /* DATA EXCHANGE - Receive message and send reply. */

  err = SSL_read (ssl, buf, sizeof(buf) - 1);                   CHK_SSL(err);
  buf[err] = '\0';
  printf ("Got %d chars:'%s'\n", err, buf);
  
  err = SSL_write (ssl, "I hear you.", strlen("I hear you."));  CHK_SSL(err);

  /* Clean up. */

  close (sd);
  SSL_free (ssl);
  SSL_CTX_free (ctx);
  return 0;
}
/* EOF - serv.cpp */


客户端源代码:cli.cpp

/* cli.cpp  -  Minimal ssleay client for Unix
   30.9.1996, Sampo Kellomaki <sampo@iki.fi> */

/* mangled to work with SSLeay-0.9.0b and OpenSSL 0.9.2b
   Simplified to be even more minimal
   12/98 - 4/99 Wade Scholine <wades@mail.cybg.com> */

#include <stdio.h>
#include <memory.h>
#include <errno.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <netdb.h>
#include <unistd.h>

#include <openssl/crypto.h>
#include <openssl/x509.h>
#include <openssl/pem.h>
#include <openssl/ssl.h>
#include <openssl/err.h>


/* define HOME to be dir for key and cert files... */
#define HOME "./"
/* Make these what you want for cert & key files */
#define CA HOME "ca.crt"
#define CERTF  HOME "client.crt"
#define KEYF  HOME  "client.key"


#define CHK_NULL(x) if ((x)==NULL) exit (1)
#define CHK_ERR(err,s) if ((err)==-1) { perror(s); exit(1); }
#define CHK_SSL(err) if ((err)==-1) { ERR_print_errors_fp(stderr); exit(2); }

int main ()
{
  int err;
  int sd;
  struct sockaddr_in sa;
  SSL_CTX* ctx;
  SSL*     ssl;
  X509*    server_cert;
  char*    str;
  char     buf [4096];
//  SSL_METHOD *meth;
 SSL_library_init();   
  SSLeay_add_ssl_algorithms();
 // meth = SSLv2_client_method();
  SSL_load_error_strings();
  ctx = SSL_CTX_new (SSLv23_client_method());                 CHK_NULL(ctx);
  
  CHK_SSL(err);
  
  if (!ctx) {
    ERR_print_errors_fp(stderr);
    exit(2);
  }
SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);  
  SSL_CTX_load_verify_locations(ctx, CA, NULL);
  
  if (SSL_CTX_use_certificate_file(ctx, CERTF, SSL_FILETYPE_PEM) <= 0) {
    ERR_print_errors_fp(stderr);
    exit(3);
  }
  if (SSL_CTX_use_PrivateKey_file(ctx, KEYF, SSL_FILETYPE_PEM) <= 0) {
    ERR_print_errors_fp(stderr);
    exit(4);
  }

  if (!SSL_CTX_check_private_key(ctx)) {
    fprintf(stderr,"Private key does not match the certificate public key\n");
    exit(5);
  }

  
  /* ----------------------------------------------- */
  /* Create a socket and connect to server using normal socket calls. */
  
  sd = socket (AF_INET, SOCK_STREAM, 0);       CHK_ERR(sd, "socket");
 
  memset (&sa, '\0', sizeof(sa));
  sa.sin_family      = AF_INET;
  sa.sin_addr.s_addr = inet_addr ("172.18.18.99");   /* Server IP */
  sa.sin_port        = htons     (1111);          /* Server Port number */
  
  err = connect(sd, (struct sockaddr*) &sa,
                sizeof(sa));                   CHK_ERR(err, "connect");

  /* ----------------------------------------------- */
  /* Now we have TCP conncetion. Start SSL negotiation. */
  
  ssl = SSL_new (ctx);                         CHK_NULL(ssl);    
  SSL_set_fd (ssl, sd);
  err = SSL_connect (ssl);                     CHK_SSL(err);
    
  /* Following two steps are optional and not required for
     data exchange to be successful. */
  
  /* Get the cipher - opt */

  printf ("SSL connection using %s\n", SSL_get_cipher (ssl));
  
  /* Get server's certificate (note: beware of dynamic allocation) - opt */

  server_cert = SSL_get_peer_certificate (ssl);       CHK_NULL(server_cert);
  printf ("Server certificate:\n");
  
  str = X509_NAME_oneline (X509_get_subject_name (server_cert),0,0);
  CHK_NULL(str);
  printf ("\t subject: %s\n", str);
  OPENSSL_free (str);

  str = X509_NAME_oneline (X509_get_issuer_name  (server_cert),0,0);
  CHK_NULL(str);
  printf ("\t issuer: %s\n", str);
  OPENSSL_free (str);

  /* We could do all sorts of certificate verification stuff here before
     deallocating the certificate. */

  X509_free (server_cert);
  
  /* --------------------------------------------------- */
  /* DATA EXCHANGE - Send a message and receive a reply. */

  err = SSL_write (ssl, "Hello World!", strlen("Hello World!"));  CHK_SSL(err);
  
  err = SSL_read (ssl, buf, sizeof(buf) - 1);                     CHK_SSL(err);
  buf[err] = '\0';
  printf ("Got %d chars:'%s'\n", err, buf);
  SSL_shutdown (ssl);  /* send SSL/TLS close_notify */

  /* Clean up. */

  close (sd);
  SSL_free (ssl);
  SSL_CTX_free (ctx);
  return 0;
}
/* EOF - cli.cpp */
服务端编译:
g++ serv.cpp -lssl -lcrypto -o serv

.[gfj@KFJK ssl]$ ./serv 
Enter PEM pass phrase:
Connection from 631212ac, port 5904
SSL connection using AES256-SHA
Client certificate:
         subject: /C=CA/ST=hubei/O=no/OU=1/CN=1/emailAddress=1
         issuer: /C=CA/ST=hubei/L=guangzhou/O=no/OU=11/CN=11/emailAddress=11
Got 12 chars:'Hello World!'


客户端编译:
g++ cli.cpp -lssl -lcrypto -o cli

[gfj@KFJK ssl]$ ./cli
Enter PEM pass phrase:
SSL connection using AES256-SHA
Server certificate:
         subject: /C=CA/ST=hubei/O=no/OU=no/CN=no/emailAddress=fjgui@sina.com
         issuer: /C=CA/ST=hubei/L=guangzhou/O=no/OU=11/CN=11/emailAddress=11
Got 11 chars:'I hear you.'



fjgui
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openSSL实现TLS双向认证
新时代农民工
07-26 1292
TLS(传输层安全性)双向认证,也称为客户端认证或互相认证,是一种网络安全协议的扩展,用于建立在传输层上的安全连接。传统的TLS认证只需要服务器验证客户端的身份,而双向认证则要求客户端也验证服务器的身份。在TLS双向认证中,客户端和服务器都必须拥有数字证书。数字证书由可信的第三方证书颁发机构(CA)签发,用于证明实体(如服务器)的身份。以下是TLS双向认证的基本步骤:1. 服务器配置:服务器需要配置受信任的数字证书,该证书由CA签发。配置包括私钥和公钥。
Openssl实现双向认证教程(附服务端客户端代码)
01-09
一、背景说明 1.1 面临问题 最近一份产品检测报告建议使用基于pki的认证方式,由于产品已实现https,商量之下认为其意思是使用双向认证以处理中间人形式攻击。 《信息安全工程》中接触过双向认证,但有两个问题。 第一个是当时最终的课程设计客户端是浏览器,服务端是tomcat双向认证只需要对两者进行配置并不需要自己真的实现代码。 第二个是虽然课程也有接近双向认证的实现代码,但当时是Java+JCE环境现在要用C+++OpenSSL环境,总体意思确实还是差不多但具体函数和参数差别还是不少。 所以眼下有的是:证书生成的思想+双向认证实现的思想。对读者而言,即要假定已对证书、SSL/TSL、sock
openssl常用用法
weixin_34068198的博客
01-04 1060
2019独角兽企业重金招聘Python工程师标准>>> ...
基于openssl的单向和双向认证
zhanglei_admin的博客
07-27 2797
1、前言    最近工作涉及到https,需要修改nginx的openssl模块,引入keyless方案。关于keyless可以参考CloudFlare的官方博客: https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/?utm_source=tuicool&utm_medium=referral。 在openssl的基础上修改私钥校验过程,因此需要对openssl的认证认证流程需要熟悉一下。SSL
nginx配置ssl双向验证的方法
09-30
【Nginx SSL双向验证详解】 SSL(Secure Socket Layer)是一种用于网络通信中加密和身份验证的安全协议。在Nginx服务器中配置SSL双向验证,也称为Mutual TLS(Transport Layer Security),意味着不仅服务器需要...
OpenSSL双向认证-易语言
06-12
在易语言中实现OpenSSL双向认证,通常涉及到调用OpenSSL的API函数来处理SSL Socket连接。 首先,我们需要创建服务器和客户端的证书请求(Certificate Signing Request,CSR)。在这个案例中,我们看到文件`client-...
https双向认证证书配置详解
11-02
**HTTPS 双向认证**是一种安全通信方式,在这种模式下,不仅服务器验证客户端的身份(通过客户端证书),客户端同样也要验证服务器的身份(通过服务器证书)。这种机制增强了数据传输的安全性,尤其是在敏感信息交换...
Openssl Socket实现SSL双向认证连接 -易语言
06-12
在本教程中,我们将讨论如何使用OpenSSL库通过Socket实现SSL双向认证连接。 首先,让我们了解什么是SSL(Secure Sockets Layer)和TLS(Transport Layer Security)。SSL是一种用于网络通信中加密传输数据的安全...
易语言-Socket实现OpenSSL双向认证连接
06-29
总的来说,使用易语言实现OpenSSL双向认证连接是一项涉及网络通信安全、加密算法、证书管理等多个领域的复杂任务。通过深入理解和实践,你可以创建出一个安全可靠的网络通信系统。虽然源码仅提供了一个基础示例,但...
CA Certificate
01-09
Security in Networked Computed System OpenSSL Lab Session#6 Certificate Management
C语言https客户端双向认证
09-04
总的来说,通过C语言和OpenSSL库,我们可以构建一个支持双向认证的HTTPS客户端,实现安全的网络通信。这个过程涉及到证书的生成、加载、验证以及SSL/TLS的连接和通信,对于理解和提升网络安全知识具有重要意义。
linux-openssl
11-02
2. 数字签名:利用非对称加密技术,OpenSSL可以创建和验证数字签名,确保数据未被篡改。 3. 密钥生成:用户可以通过OpenSSL生成公钥和私钥对,用于加密和解密数据,或者进行数字签名和验证。 4. 证书管理:OpenSSL...
CHAP验证.zip
06-23
CHAP的优势在于其双向认证特性,即双方都需要验证对方的身份,增强了网络安全。 **OpenSSL库在CHAP中的应用** OpenSSL是一个强大的安全套接字层密码库,包含了各种主要的密码算法、常用的密钥和证书封装管理功能...
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
最新发布
01-16
本文将详细介绍如何使用 OpenSSL 创建和管理CA证书、服务器证书和客户端证书,以实现SSL单向认证和双向认证。 首先,我们来看一下如何生成 CA(证书颁发机构)证书。CA证书是信任的根,用于签署其他证书,确保网络...
Openssl 建立双向认证的 SSL/TLS 通信
嵌入式攻城狮
11-01 1818
利用 Openssl 在两台 uBuntu 之间建立双向认证的 TLS/SSL 通信
openssl主要流程程序代码
zhulianhai0927的专栏
05-14 1290
   // CA.cpp : Defines the entry point for the DLL application.      //      #define sprintf_s sprintf       #include "stdafx.h"      #include       #include "ca.h"      #include       #incl
signature=1e5657848f9bb9bd818e064c10667328,openssl/x509.c at 0f9fdefeb05768b86f4364a8e976c87ee197638...
weixin_26731219的博客
05-29 1179
/** Copyright 1995-2020 The OpenSSL Project Authors. All Rights Reserved.** Licensed under the Apache License 2.0 (the "License"). You may not use* this file except in compliance with the License. Y...
openssl双向认证
LJYXz的博客
04-10 346
Qt使用openssl库进行双向认证,ssl_connect连接失败 在Qt里加入openssl的动态库,实现双向认证。 客户端与服务器进行ssl_connect 和ssl_accept时一直报错。 最后发现是Qt的Qtcpsocket的套接字默认是不阻塞模式,但是我认为ssl_connect 和ssl_accept是要走一套流程的 ssl通过套接字进行证书的验证,但如果处于不阻塞模式,很有可能会因为客户端未收到服务器的证书而完成ssl_connect连接,导致ssl连接认证失败。 解决方法:QT得到套接
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值