mbedTLS生成客户端,服务端密钥及CA证书

已于 2024-08-30 13:56:13 修改
阅读量1k 收藏 14
点赞数 8
文章标签: mbedtls nng
于 2024-08-22 23:57:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/int_t/article/details/141440261
版权

1. mbedTLS源码:

科普:https://www.cnblogs.com/kerwincui/p/14179837.html

源码及framework的链接,下载framework后,放在mbedTLS的framework目录下:

https://github.com/Mbed-TLS/mbedtls
https://github.com/Mbed-TLS/mbedtls-framework/tree/94599c0e3b5036e086446a51a3f79640f70f22f6

​

1.1 编译上述源码

按照官方的步骤来即可。 

$ mkdir  build
$ cmake ..
$ 编译生成动态库:cmake -DUSE_SHARED_MBEDTLS_LIBRARY=On ..
$ make -j4
$ ...

2. 生成步骤:

2.1. 生成 CA 根密钥和根证书

//生成 CA 根密钥 (ca_key.pem)

./programs/pkey/gen_key type=rsa rsa_keysize=4096 filename=ca_key.pem

//生成 CA 根证书 (ca_cert.pem) 

./programs/x509/cert_write selfsign=1 issuer_key=ca_key.pem issue_name="CN=My Root CA,O=My Organization,C=US" not_before=20240101000000 not_after=20350101000000 output_file=ca_cert.pem

注意: 在生成根证书时,`subject_name` 参数定义了 CA 的信息。

2.2 生成服务器密钥和证书签名请求 (CSR)

//生成服务器私钥 (server_key.pem)

./programs/pkey/gen_key type=rsa rsa_keysize=4096 filename=server_key.pem

//生成服务器证书签名请求 (server.csr) 

./programs/x509/cert_req filename=server_key.pem output_file=server.csr subject_name="CN=server,O=My Organization,C=US"


2.3. 签署服务器证书

//生成服务器证书 (server_cert.pem)

./programs/x509/cert_write issuer_key=ca_key.pem issuer_name="CN=My Root CA,O=My Organization,C=US" request_file=server.csr subject_name="CN=server,O=My Organization,C=US" output_file=server_cert.pem not_before=20240101000000 not_after=20250101000000


注意: 在生成服务器证书时,确保 `issuer_name` 与 CA 证书的 `subject_name` 一致,同时 `subject_name` 应该与 CSR 中的名称一致。

2.4. 生成客户端私钥和证书签名请求 (CSR)

//生成客户端私钥 (client_key.pem)

./programs/pkey/gen_key type=rsa rsa_keysize=4096 filename=client_key.pem

//生成客户端证书签名请求(client_csr.pem)

./programs/x509/cert_req filename=client_key.pem output_file=client_csr.pem subject_name="CN=client,O=My Organization,C=US"


2.5. 签署客户端证书

//生成客户端证书 (client_cert.pem)

./programs/x509/cert_write issuer_key=ca_key.pem issuer_name="CN=My Root CA,O=My Organization,C=US" request_file=client_csr.pem subject_name="CN=client,O=My Organization,C=US" output_file=client_cert.pem not_before=20240101000000 not_after=20250101000000


注意: 同样,确保 `issuer_name` 与 CA 证书的 `subject_name` 一致,`subject_name` 与 CSR 中的名称一致。

2.6. 验证生成的证书

//验证服务器证书

./programs/x509/cert_app mode=file filename=server_cert.pem ca_file=ca_cert.pem

//验证客户端证书 

./programs/x509/cert_app mode=file filename=client_cert.pem ca_file=ca_cert.pem

验证可以通过。

3.提示

1. 保持 `issuer_name` 和 `subject_name` 的一致性: 
   - 在签署服务器和客户端证书时,`issuer_name` 应该与 CA 的 `subject_name` 一致。
   - 生成的证书的 `subject_name` 应与其对应的 CSR 的 `subject_name` 一致。

2. 确保时间格式正确: 
   - `not_before` 和 `not_after` 的时间格式是 `YYYYMMDDHHMMSS`,确保时间段在当前时间范围内。

3. CA 根证书的 `selfsign` 参数: 

   - 生成CA根证书的餐胡应该是issue_name和生成服务器 / 客户端的issue_name保持一致
   - 在生成 CA 根证书时,`selfsign=1` 是必需的,这标志着它是自签名证书。

4. 检查文件内容:
   - 确保所有生成的文件(密钥、CSR、证书)内容正确且完整。

5. 路径和权限:
   - 确保命令中使用的路径正确,且有足够的权限访问这些文件。

4. 配合nng协议使用mbedTLS

        在nng协议的CMakeLists.txt中添加:

set(NNG_ENABLE_TLS "Enable TLS support in NNG" ON)
set(BUILD_SHARED_LIBS "Build shared libraries" ON)

        在mbedTLS的CMakeLists.txt中添加:

option(USE_SHARED_MBEDTLS_LIBRARY "Use shared mbedTLS library" ON )
我加在66行

        nng协议集成了TLS接口,可以和mbedTLS 配合实现传输层安全。下面给出demo:

4.1 根据上面的步骤生成证书和秘钥

 进入到mbedTLS的编译路径的build目录(这里创建了一个新的目录来保存生成的文件,所以下面的命令是 ../):

#!/bin/bash
echo "#生成 CA 根密钥 (ca_key.pem)..."
../programs/pkey/gen_key type=rsa rsa_keysize=4096 filename=ca_key.pem

echo "#生成 CA 根证书 (ca_cert.pem)..."
../programs/x509/cert_write selfsign=1 issuer_key=ca_key.pem issuer_name="CN=My Root CA,O=My Organization,C=US" not_before=20240101000000 not_after=20350101000000 is_ca=1 output_file=ca_cert.pem


echo "#生成服务器私钥 (server_key.pem)..."
../programs/pkey/gen_key type=rsa rsa_keysize=4096 filename=server_key.pem

echo "#生成服务器证书签名请求 (server.csr)..."
../programs/x509/cert_req filename=server_key.pem output_file=server.csr subject_name="CN=server,O=My Organization,C=US"

echo "#生成服务器证书 (server_cert.pem)..."
../programs/x509/cert_write issuer_key=ca_key.pem issuer_name="CN=My Root CA,O=My Organization,C=US" request_file=server.csr subject_name="CN=server,O=My Organization,C=US" output_file=server_cert.pem not_before=20240101000000 not_after=20250101000000


echo "#生成客户端私钥 (client_key.pem)..."
../programs/pkey/gen_key type=rsa rsa_keysize=4096 filename=client_key.pem

echo "#生成客户端证书签名请求(client_csr.pem)..."
../programs/x509/cert_req filename=client_key.pem output_file=client_csr.pem subject_name="CN=client,O=My Organization,C=US"

echo "#生成客户端证书 (client_cert.pem)..."
../programs/x509/cert_write issuer_key=ca_key.pem issuer_name="CN=My Root CA,O=My Organization,C=US" request_file=client_csr.pem subject_name="CN=client,O=My Organization,C=US" output_file=client_cert.pem not_before=20240101000000 not_after=20250101000000

echo "#验证服务器证书..."
../programs/x509/cert_app mode=file filename=serve_cert.pem      ca_file=ca_cert.pem

echo "#验证客户端证书..."
../programs/x509/cert_app mode=file filename=client_cert.pem ca_file=ca_cert.pem

cat server_key.pem >> server_cert.pem
然后在代码里加载server端证书的时候,指定文件名 server_cert.pem
cat client_key.pem >>client_cert.pem

5. nng协议使用TLS

小狮子&
关注
c语言mbedtls之私钥导出公钥
萧海的博客
07-05 490
【代码】c语言mbedtls之私钥导出公钥。
mbedtls | 嵌入式数字证书及 X.509 证书标准
weixin_50547796的博客
06-04 225
mbed TLS(前身为PolarSSL)是一款开源的、轻量级的加密库,专为嵌入式系统设计。它支持多种加密算法、协议和安全功能,包括数字证书管理。mbed TLS 提供了对 X.509 标准的完整支持,使开发人员能够生成、解析和验证数字证书。数字证书是用于认证和加密通信的一种电子凭证。它包含了一个实体(通常是一个人或组织)的公钥和相关信息,由证书颁发机构(CA)签名以确保证书的真实性。X.509 是一种广泛使用的证书格式标准,定义了证书的结构和内容。
mbedtls交换服务器证书,mbedtls | 07 - DH秘钥协商算法的配置与使用
weixin_32751961的博客
07-30 905
mbedtls系列文章Demo工程源码https://github.com/Mculover666/mbedtls-study-demo本工程基于STM32L41RCT6开发板,包含了本系列文章中所编写的所有Demo,持续更新……文章目录mbedtls系列文章Demo工程源码一、DH秘钥协商算法二、DH秘钥协商功能的配置和使用1. 配置宏2. DH秘钥协商功能API说明3. 编写测试函数4. 测试...
mbedTLS中验证服务器证书
明潮的BLOG
12-07 8425
验证服务器证书 mbedtls_printf( " . Verifying peer X.509 certificate..." ); /* In real life, we probably want to bail out when ret != 0 */ if( ( flags = mbedtls_ssl_get_verify_result( &ssl ) ) !=
c语言mbedtls证书校验
最新发布
萧海的博客
06-26 89
【代码】c语言mbedtls证书校验。
mbedtls | 10 - 数字证书及 X.509 证书标准
Mculover666的博客(嵌入式)
10-04 6086
mbedtls系列文章 mbedtls | 01 - 移植mbedtls库到STM32的两种方法 mbedtls | 02 - 伪随机数生成器(ctr_drbg)的配置与使用 mbedtls | 03 - 单向散列算法的配置与使用(MD5、SHA1、SHA256、SHA512) mbedtls | 04 - 对称加密算法的配置与使用(AES算法) mbedtls | 05 - 消息认证码的配置与使用(HMAC算法、GCM算法) mbedtls | 06 - 非对称加密算法的配置与使用(RSA算法) mbe
mbedtls.zip
01-21
3. **证书管理**: Mbedtls 提供了证书链的验证和管理功能,包括证书生成、解析、存储和验证。这对于实现服务器客户端的身份认证至关重要。 4. **随机数生成**: 安全的随机数生成器是密码学的基础,Mbedtls 包含...
openssl自签名CA证书服务端客户端证书生成并模拟单向/双向证书验证
赴前尘
02-03 1661
openssl自签名CA证书服务端客户端证书生成并模拟单向/双向证书验证
mbedtls源码.rar
10-14
5. **随机数生成器**:为保证加密过程中的安全性,mbedtls包含一个强随机数生成器,用于创建不可预测的密钥和其他安全参数。 **二、mbedtls的使用** 1. **配置和编译**:mbedtls源码可以通过配置文件进行定制,...
mbedtls源代码
02-02
mbedtls源代码
mbedtls加密协议源代码
08-25
包括常用的RSA,HASH,AES,MD5等机密算法源代码,亲测可用
mbedtls:一个开源,可移植,易于使用,可读且灵活的SSL库
02-26
适用于Mbed TLS的自述文件 Mbed TLS是一个C库,可实现加密原语,X.509证书操作以及SSL / TLS和DTLS协议。 它的代码占用量小,使其适用于嵌入式系统。 Mbed TLS包括的参考实现。 当前,此预览仅用于评估目的。 配置 在大多数系统上,Mbed TLS应该是开箱即用的。 完全记录在案的配置文件include/mbedtls/config.h中提供了一些特定于平台的选项,这也是可以选择功能的地方。 该文件可以手动编辑,也可以使用Python 3脚本scripts/config.py (使用--help以获得更详尽的说明)以更加编程的方式进行编辑。 使用Make和CMake构建系统时,可以使用常规环境变量(例如CC和CFLAGS来设置编译器选项(请参见下文)。 我们在configs/目录中提供了一些针对特定用例的非标准配置。 您可以在configs/READM
出现故障的https:借助ARM的开源MbedTLS库,以简单,轻便,简单的方式处理HTTP(S)请求
02-17
故障HTTPS 借助在C中执行HTTP(S)请求的简单,轻便和简单的方法。 查看API文档 如何克隆 git clone --recursive https://github.com/GlitchedPolygons/glitchedhttps.git 如何使用 只需将glitchedhttps作为git子模块添加到您的项目中(例如,添加到项目存储lib/某些lib/或deps/文件夹中;在以下示例中使用{repo_root}/lib/ )。 git submodule add https://github.com/GlitchedPolygons/glitchedhttps.git lib/glitchedhttps git submodule update --init --recursive 如果使用CMake,则可以在CMakeLists.txt文件中添加add_subdir
MbedTLS-Test
04-29
MbedTLS测试 警告! 这是测试项目! 开发环境 硬件 ST MICRO STM32F103VC皮质M3 Wiznet W5500硬件TCP / IP堆栈IC 个人设计的板。 软件 科德 海湾合作委员会 固件 MbedTLS 2.1.2 可以从下载,但MbedTLS库存在一些错误。 ST MICRO提供的ST基本库CoIDE包括stm库。 WIZnet提供的ioLibrary W5500驱动程序可以从下载 董事会特定代码 main.c和ETC 项目结构 #必须改变 以太网信息(main.c第5行) wiz_NetInfo gWIZNETINFO = { .mac = {}, .ip = {000, 000, 000, 000}, .sn = {000, 000, 000, 000}, .gw = {000, 000, 000
openssl自签名ca证书,以及签发服务端/客户端证书
bglmmz的专栏
10-26 2801
网上由很多,但是感觉操作比较复杂,有些签发的证书不可用。现在介绍简单方法。假设已经安装了openssl,已有sudo权限。已经建立路径:/ope/ca,所有操作都在此路径下进行。 1. 准备工作,由于我们签发的证书,不一定用于有域名的情况,而且服务端可能部署于任何Ip地址,所以,要准备一个证书的扩展配置,文件命为:server-ext.cnf,用echo命令直接生成此文件,命令行: echo "subjectAltName=DNS:*.demo.com,IP:0.0.0.0" > server-
cxf生成客户端 服务端代码
02-19
cxf生成客户端 服务端代码
c语言开源库mbedtls之实现https下载文件功能
萧海的博客
06-24 504
测试效果 测试代码:
c语言mbedtls之rsa密钥制作
萧海的博客
06-25 177
【代码】c语言mbedtls之rsa密钥制作。
SYSLOG OVER TLS客户端服务端代码
03-29
以下是示例代码,演示如何使用Python实现基于TLS的SYSLOG客户端服务端: ## 1. 服务端代码 ```python import socket import ssl # 定义服务器地址和端口号 HOST = '127.0.0.1' PORT = 6514 # 创建TCP套接字 server_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM) # 绑定服务器地址和端口号 server_socket.bind((HOST, PORT)) # 监听客户端连接 server_socket.listen(1) # 加载证书密钥 context = ssl.SSLContext(ssl.PROTOCOL_TLS_SERVER) context.load_cert_chain(certfile='server.crt', keyfile='server.key') # 等待客户端连接 print('Waiting for client connection...') conn, addr = server_socket.accept() # 将TCP套接字包装成SSL套接字 ssl_conn = context.wrap_socket(conn, server_side=True) # 接收客户端发送的数据 while True: data = ssl_conn.recv(1024) if not data: break print(data.decode('utf-8')) # 关闭SSL套接字和TCP套接字 ssl_conn.close() server_socket.close() ``` ## 2. 客户端代码 ```python import socket import ssl import time # 定义服务器地址和端口号 HOST = '127.0.0.1' PORT = 6514 # 创建TCP套接字 client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM) # 将TCP套接字包装成SSL套接字 context = ssl.SSLContext(ssl.PROTOCOL_TLS_CLIENT) context.verify_mode = ssl.CERT_NONE ssl_conn = context.wrap_socket(client_socket) # 连接服务器 ssl_conn.connect((HOST, PORT)) # 发送数据 while True: message = 'Hello, world! ' + time.ctime() ssl_conn.sendall(message.encode('utf-8')) time.sleep(1) # 关闭SSL套接字和TCP套接字 ssl_conn.close() client_socket.close() ``` 注意:以上示例代码仅供参考,实际使用时需要根据具体情况进行修改。同时,还需要在运行之前生成证书密钥,以保证通信的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值