openssl使用sni支持多域名、多证书服务

最新推荐文章于 2024-08-26 14:16:21 发布
最新推荐文章于 2024-08-26 14:16:21 发布
阅读量1.8k 收藏
点赞数 1
分类专栏: 网络开发 openssl c++ linux 文章标签: openssl sni 多域名 tls ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/linyanxin2007/article/details/89334505
版权
linux 同时被 3 个专栏收录
12 篇文章 0 订阅
订阅专栏
c++
8 篇文章 0 订阅
订阅专栏
网络开发
5 篇文章 0 订阅
订阅专栏

 

map<string,SSL_CTX*> g_ctxMap;
SSL_CTX* serverSslCtx = NULL;
static int serverNameCallback(SSL * ssl, int * ad, void * arg)
{
	if(ssl == NULL)
		return SSL_TLSEXT_ERR_NOACK;

	const char * servername = SSL_get_servername(ssl,TLSEXT_NAMETYPE_host_name);
    SSL_CTX* ctx = NULL;    
	if (servername && strlen(servername) > 0)
	{
        //从g_ctxMap中找到servername对应的SSL_CTX
		_OUTPUT(INFO, "%s name = %s\n", __FUNCTION__, servername);
	}
	else
	{
        //选一个默认的SSL_CTX
		_OUTPUT(INFO, "%s name is NULL\n", __FUNCTION__);
	}
    
	SSL_set_SSL_CTX(ssl, ctx);
	SSL_set_verify(ssl, SSL_CTX_get_verify_mode(ctx),                             
    SSL_CTX_get_verify_callback(ctx));
	SSL_set_verify_depth(ssl, SSL_CTX_get_verify_depth(ctx));
	SSL_set_options(ssl, SSL_CTX_get_options(ctx));
	return SSL_TLSEXT_ERR_OK;
}

//初始化一个通用的SSL_CTX,设置好回调函数
//接受客户端的连接sock,与通用SSL_CTX绑定,后面收到包就会触发回调,再根据域名绑定对应的SSL_CTX
serverSslCtx = SSL_CTX_new(SSLv23_server_method());
SSL_CTX_set_tlsext_servername_callback(serverSslCtx, serverNameCallback);


//获取证书里的域名
X509* x509 = SSL_CTX_get0_certificate(serverSslCtx);
X509_NAME* pSubName = X509_get_subject_name(x509);
char csBuf[256] = { 0 };
X509_NAME_get_text_by_NID(pSubName, NID_commonName, csBuf, 256);

 

linyanxin2007
关注
专栏目录
OpenSSL-SNI
Remy的学习记录
09-14 1万+
一、    什么是SNI?     SNI是Server Name Indication的缩写,是为了解决一个服务使用多个域名证书SSL/TLS扩展。它允许客户端在发起SSL握手请求时(客户端发出ClientHello消息中)提交请求的HostName信息,使得服务器能够切换到正确的域并返回相应的证书。     在SNI出现之前,HostName信息只存在于HTTP请求中,但SSL/TL
HTTPS之SNI介绍与Nginx多域名支持
交换一个思想,能得到俩思想
04-14 4634
一、介绍 早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,它默认认为:一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。 但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomai...
SNI 兼容性导致 HTTPS 访问异常(服务证书不可信)
SSL知识库
08-30 742
随着 IPv4 地址的短缺,为了让多个域名复用一个 IP 地址,在 HTTP 服务器上引入了虚拟主机的概念。服务器可以根据客户端请求中不同的 Host,将请求分配给不同的域名(虚拟主机)来处理。在一个被多个域名(虚拟主机)共享 IP 的HTTPS服务器中,当浏览器访问一个 HTTPS 站点时,会首先与服务器建立SSL 连接。建立SSL连接的第一步是请求服务器的证书服务器在发送证书时,不知道浏览器访问的是哪个域名,所以不能根据不同域名发送不同的证书SNI(Server Name Indica...
什么是sni
最新发布
qq_65665724的博客
08-26 947
这样客户端在发送请求的时候,利用DNS域名解析,只要向解析到的IP地址(服务器地址)发送请求,然后服务器将自身唯一的证书返回回来,交给客户端验证,验证通过,则继续进行后续通信。然后通过协商好的加密通道,获得所需要的内容。server_hello, 服务端返回协商的信息结果,包括选择使用的协议版本 version,选择的加密套件 cipher suite,选择的压缩算法 compression method、随机数 random_S 等,其中随机数用于后续的密钥协商;
OpenSSL SNI
weixin_30787531的博客
08-02 345
网站ssl检测工具   https://www.ssllabs.com/ssltest/analyze.html?d=gggl.houseoflux.com.cn   https://myssl.com/ #网站SSL安全监测   今天遇到一个问题,通过cdn取源站的数据取不到,通过测试确认源站支持的cipher suites 与我们不同。   客户源站:    ...
C语言使用openssl解析TLS报文(SNI证书)
Chuancey的博客
02-15 7542
项目中需要对TLS报文中SNI证书部分进行过滤,并且之前并没有接触过这方面的内容,为了解决这一需求,期间学习了不少知识,也走了不少弯路。就写下这篇博客记录分享一下。项目背景:项目是一个类似防火墙的软件,可以过滤特定的TLS流量。实现原理就是通过对TLS数据包流量进行解析,得到想要过滤的字段数据,根据过滤规则决定是否放行该TLS流量。本次需要过滤的TLS数据包主要针对SNI证书TLS报文的版本为1.2。使用版本为1.0.2k的openssl进行C编程。
HTTPS 深入浅出 - SNI
ahyz9638的博客
03-25 1623
SNI(Server Name Indication) 用来解决一个服务器拥有多个域名的情况 之前的 SSL 握手信息中并没有携带客户端要访问的目标地址。这样会导致一个问题,如果一台服务器有多个虚拟主机,且每个主机的域名不一样,使用了不一样的证书,该返回哪一个给客户端? 做法就是在 Client Hello 中补上 Host 信息,SNITLSv1.2 开始得到协议的支持,当...
【网络】openssl及其使用
xhdxhdxhd的博客
01-01 405
介绍 OpenSSL是面向TLSSSL协议的全能工具,同时也是一个通用的加解密工具。 生成https的X509v3证书 参考:https://answers.ssh.com/questions/1557/how-to-create-x509v3-serveruser-certificates-with-openssl-and-then-how-to-configure-tectia-clien...
Linux如何检查是否支持SNI,WDCP下的纯Nginx支持域名ssl证书(TLS SNI support disabled)解决方案...
weixin_30845345的博客
05-14 650
本帖最后由 longyushen 于 2013-11-27 19:03 编辑WDCP下的纯Nginx支持域名ssl证书(TLS SNI support disabled)解决方案来本论坛搜索的时候,没有发现有任何的解决方案,发帖提问也没有人能及时回答,今天经过一天的百度和研究,终于搞定了,一下是我的具体操作过程,希望以后能帮得了大家nginx如果编译的时候使用openssl如果没有添加enabl...
执行虚拟主机使用SNI进行多域名SSL配置
SNITLS协议的扩展,它允许客户端在握手过程中告诉服务器将要连接的主机名(域名),使得服务器能够根据不同的主机名使用不同的证书进行SSL连接,从而支持在同一个IP地址上配置多个域名SSL证书
Nginx配置多个HTTPS域名的方法
09-30
这样,Nginx就可以根据客户端请求的SNI信息提供正确的SSL证书,从而支持多个HTTPS域名。 获取SSL证书是部署HTTPS的另一重要步骤。如果域名提供商提供免费的SSL证书,可以直接使用。否则,可以利用Let's Encrypt提供...
openssl_1_1_1-stable版本
12-19
在编译curl时遇到了openssl,因为openssl 比较常用,因此将资源上传。
openssl3.2 - note - Getting Started with OpenSSL
谢绝(无视)留言与私信
03-15 416
看到官方文档 Getting Started with OpenSSL, 记录一下笔记。
TLS SNI测试
LoongTu
04-02 2355
文章目录概述测试启动服务器客户端发起连接,不指定servername客户端发起连接,指定servername客户端发起连接,指定错误servername 概述 服务器名称指示(Server Name Indication,缩写:SNI)是TLS的一个扩展协议,首次发布在openssl 0.9.8f版本。 在该协议下,在握手过程开始时客户端告诉它正在连接的服务器要连接的主机名称。这允许服务器在相同的...
dtls到srtp的整个流程
qq_27031005的博客
12-17 1167
1、SSL_CTX_new创建上下文 2、SSL_CTX_set_security_level设置加密等级 3、SSL_CTX_use_certificate配置证书上下文到ssl上下文 4、SSL_CTX_use_PrivateKey配置公钥给ssl 5、d2i_X509转换字符串到x509证书句柄,可向ssl证书store中添加该证书调用X509_STORE_add_cert实现,SSL_CTX_get_cert_store支持ssl_ctx获取句柄 6、SSL_CTX_set_verify设置需要
openssl 常用api的作用与使用
小x的博客
12-30 4695
服务端编写步骤 SSL_library_init SSL的初始化 OpenSSL_add_all_algorithms 载入所有的SSL算法 SSL_load_error_strings() 载入所有SSL错误消息 SSL_CTX_new() 产生一个SSL CTX SSL_CTX_use_certificate_file 载入用户的数字证书 X509 *SSL_get_peer_certificate(const SSL *ssl);// 获取对方的数字证书 ...
使用openssl创建多泛域名及IP的自签名证书
qq1091606981的专栏
01-06 2272
使用openssl创建多泛域名及IP的自签名证书
mysql dwith ssl_centos 5.8 编译 mysql 5.5.32时,参数-DWITH_SSL=system报错
weixin_35012535的博客
01-19 536
在centos 5.8上编译mysql5.5.32,加了-DWITH_SSL=system参数,编译时报错如下,/usr/local/src/mysql-5.5.32/vio/viossl.c: In function 'ssl_do':/usr/local/src/mysql-5.5.32/vio/viossl.c:175: error: 'SSL_OP_NO_COMPRESSION' unde...
SSL编程- 简单函数介绍
热门推荐
裸奔的蜗牛
12-10 6万+
SSL编程 OpenSSL是一个开放源代码的SSL协议的产品实现,它采用C语言作为开发语言,具备了跨系统的性能。调用OpenSSL的函数就可以实现一个SSL加密的安全数据传输通道,从而保护客户端和服务器之间数据的安全。 头文件: #include #include 基于OpenSSL的程序都要遵循以下几个步骤: (1 ) OpenSSL初始化 在使用Ope
如何在服务器里多个域名使用证书,利用openssl签署多域名证书
06-10
要在服务器上使用包含多个域名证书,您可以使用openssl来签署多域名证书。以下是基本步骤: 1. 创建一个证书签名请求(CSR)文件。 2. 创建一个配置文件,该文件包含您拥有的每个域名和其他相关信息。 3. 使用以下命令生成证书openssl req -new -sha256 -key yourdomain.key -out yourdomain.csr -config yourdomain.cnf 其中,yourdomain.key是您的私钥文件,yourdomain.csr是您的CSR文件,yourdomain.cnf是您的配置文件。 4. 将您的CSR文件发送给证书颁发机构(CA),以便他们可以签署您的证书。 5. 一旦您收到您的多域名证书,将其与您的私钥文件合并: openssl pkcs12 -export -out yourdomain.pfx -inkey yourdomain.key -in yourdomain.crt 其中,yourdomain.crt是您的多域名证书。 6. 将生成的PFX文件安装到您的服务器上。 这些是基本步骤,但具体步骤可能因您使用服务器和证书颁发机构而异。请确保仔细阅读您的证书颁发机构的文档,并遵循他们的指示。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值