1.从客户端到服务器的ssl连接的建立过程:
初始化ssl库:
建立ssl上下文(CTX),并进行设置为建立SSL连接作准备:
- #define CERTFILE_PATH "/root/CA/client.pem"
- #define CERTKEY_PATH "/root/CA/clientkey.pem"
- #define CACERT_PATH "/root/CA/cacert.pem"
初始化ssl库:
- SSL_library_init();
- SSL_load_error_strings(); //提供将错误号解析为字符串的功能
- OpenSSL_add_all_algorithms(); //支持所有算法
- SSL_METHOD* m_method = SSLv3_method();//SSLv3_client_method();
- if(NULL == m_method)
- return false;
- //根据SSL连接和验证方式建立CTX
- mSSL_CTX* m_ctx = SSL_CTX_new(m_method);
- if(NULL == m_ctx)
- return false;
- //载入CA证书
- if( SSL_CTX_load_verify_locations(m_ctx,CACERT_PATH, NULL) != 1 )
- {
- return false;
- }
- //载入客户端证书
- if( SSL_CTX_use_certificate_file(m_ctx, CERTFILE_PATH, SSL_FILETYPE_PEM) != 1)
- return false;
- //载入certificate_chain_file,这是一个PEM格式的文件,里面依次为客户端证书和CA证书,必须以CA根证书为结尾
- if( SSL_CTX_use_certificate_chain_file(m_ctx,CERTCHAIN) != 1)
- return false;
- //为客户端私钥设置默认密码
- SSL_CTX_set_default_passwd_cb_userdata(m_ctx, (void *)CERTKEY_PW);
- //载入客户端私钥,如果在上面没有设置默认密码,调用这个函数时openssl会在终端提示用户手动输入密码
- if(SSL_CTX_use_PrivateKey_file(m_ctx,MLE_RES_CERTKEY_PATH, SSL_FILETYPE_PEM) !=1 )
- return false;
- //检查客户端私钥和证书是否匹配
- if( SSL_CTX_check_private_key(m_ctx) != 1 )
- return false;
- //建立SSL
- SSL* m_ssl = SSL_new(m_ctx);
- if(NULL == m_ssl)
- return false;
- //绑定普通socket到ssl,这个普通socket必须是已经使用socket的connect函数链接成功了的
- if(SSL_set_fd(m_ssl, m_socket) == -1)
- return false;
- //使用SSL连接服务器
- SSL_connect(m_ssl);
- //获取连接到的服务器的证书信息,如果服务器不需要证书也会返回NULL
- X509 *x590test = SSL_get_peer_certificate(m_ssl);
- if(x590test == NULL )
- {
- return false;
- }
- //获得服务器证书验证结果,X509_V_OK为验证通过
- if(SSL_get_verify_result(m_ssl) != X509_V_OK)
- {
- return false;
- }