探索https原理,用openssl自实现https

已于 2022-09-17 22:31:23 修改
阅读量2.6k 收藏 17
点赞数 1
文章标签: https ssl 网络
于 2022-09-17 22:29:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lkun2002/article/details/126911760
版权

探索http原理,使用C++基于socket自实现http中使用C++基于socket实现了http,本篇我将在之前实现http的基础上,使用openssl实现一个https。

https是指http和tcp之间多了一层ssl(Secure Sockets Layer 安全套接层)。http协议传输的是明文,就是发送端把数据写入socket,接收端从socket读取数据,数据在传输过程中都保持明文,非常容易被窃听,所以不安全。ssl就是用来实现加密传输的,大概流程就是发送端不再直接向socket写入数据,而是把数据写入ssl层,ssl将数据加密后再使用socket发出。接收端也不再直接从socket读取数据,而是ssl层从socket接收数据,此数据是加密的,ssl需要对数据解密,接收端应用程序从ssl读取解密后的数据。由此,数据在传输途中处于加密状态,从而是安全的。
在这里插入图片描述

ssl的加密过程比较复杂。涉及大量的密码学知识。这里大概介绍一下。

ssl的加密过程使用到了对称加密和非对称加密。

对称加密是指对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把琐。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。但是对称加密的缺点也很明显,那就是密钥也需要在网上传输,一旦密钥被破解或截获,后果就可想而知了。

非对称加密算法需要两个密钥来进行加密和解密,这两个密钥是公开密钥(public key,简称公钥)和私有密钥(private key,简称私钥)。用得最多的非对称加密算法是RSA算法。用私钥对信息进行加密只有其对应的私钥才能解密,用私钥加密只有对应的公钥才能解密。这就能弥补对称加密的密钥不安全传输问题了,我们只需要把公钥发送出去,别人拿到了公钥也没办法解密信息。因为公钥加密的信息只有私钥才能解密,而私钥是有我们持有,只要保证私钥安全就可以了。非对称加密算法的缺点同样严重,那就是非对称加密算法的加解密速度比对称加密要慢上千倍,啊,这真是一个让人受不了的缺点。

结合对称加密和非对称加密的优缺点,于是人才们想出一个办法,对称加密的问题是密钥不安全,那我们就把这个密钥用非对称加密来加密一下再传输。这样几乎完美解决了这两个加密算法的问题。

说几乎解决是因为实际上还面临一个问题,那就是公钥的交换问题。如果通信的一端收到了对方发来的公钥,如何证明这个公钥是真实的对方发的,而不是中间有人假冒的。确实存在这种可能,比如张三和李四在通信,但中间存在一个老王,他跟张三说自己是李四,跟李四说自己是张三。于是就有了证书的概念,证书就是用来安全交换公钥的。证书类似于身份证,是用来证明身份的。身份证的公信力来源于政府,在加密界也存在一些有公信力的机构,称之为CA,CA是被操作系统信任的,相当于他的权威性写进了基因。我们可以让CA给我们证明一下身份,于是我们可以把公钥、域名和一些基本信息提交到CA。CA也有自己的公钥和私钥,CA用自己的私钥对我们的信息做一个摘要(比如MD5或SHA256等)并加密,这个加密只有CA的公钥才能解。我们提交到CA的信息加上CA的加密信息在一起就组成了证书。CA同时也把自己的公钥和基本信息摘要并加密生成一个证书,称为根证书,根证书被添加到操作系统里。验证证书时就用根证书内的公钥解密一下证书里的信息。其实证书就是证明和某个公钥确实是某人的,而不是冒充的。

为了实现https,所以我们先需要生成自己的证书,并把根证书添加到系统内,并信任这个这个根证书。openssl可以做这件事。

下载openssl

编译

./Configure 
make install

生成CA的私钥

openssl genrsa -out rootCA.key 2048

生成CA的根证书

openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 3650 -out rootCA.pem

执行完这个命令会让我们输入一些证书的信息

liaokun@192 http % openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 3650 -out rootCA.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) []:LK Technology Co. Ltd.
Organizational Unit Name (eg, section) []:LK Technology Co. Ltd.
Common Name (eg, fully qualified host name) []:LK Technology Root CA
Email Address []:

执行完后,得到rootCA.pem文件,这就是根证书,我们把它添加到系统信任。
在这里插入图片描述

接下来,生成https的server端私钥

openssl genrsa -out server.key 2048

生成服务端的csr文件,ca根据csr文件为服务端颁发证书。可以把上面生成证书要填的信息写到-subj选项中,如下

openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=Beijing/L=Beijing/O=LK/OU=LK/CN=test.com"

ca根据csr文件为服务端颁发证书

openssl x509 -req -in server.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out server.pem -days 825 -sha256 -extfile cert/v3.ext
#SSL证书最长期限825天

server.pem就是https使用的服务端证书。我把地址写成了test.com。测试的时候需要改写/etc/hosts将本机地址映射到test.com。

接下来可以写代码了,在之前实现http的基础上,加入openssl。https默认使用的端口是443,所以服务端改为监听443端口。

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <unistd.h>
#include <iostream>
#include <openssl/ssl.h>
#include <openssl/err.h>
#define port 443 //监听端口,可以在范围内自由设定
using namespace std;



void close_ssl(SSL *ssl,int client_fd)
{
    if(ssl)
    {
        /* 关闭 SSL 连接 */
        SSL_shutdown(ssl);
        /* 释放 SSL */
        SSL_free(ssl);

    }

    if(client_fd>0)
    {
        close(client_fd);
    }
}


int main()
{
    std::string message ="";
    message+="HTTP/1.1 200 OK";
    message+="\r\n";
    message+="Content-Type:text/html\r\n";
    message+="server:Tengine \r\n";
    message+="name:LiaoKun \r\n";
    message+="\r\n";
    message+="<html><head>Hello,World!</head></html>\r\n";
    message+="\r\n";
    SSL_CTX *ctx;

    /* SSL 库初始化 */
    SSL_library_init();
    /* 载入所有 SSL 算法 */
    OpenSSL_add_all_algorithms();
    /* 载入所有 SSL 错误消息 */
    SSL_load_error_strings();
    /* 以 SSL V2 和 V3 标准兼容方式产生一个 SSL_CTX ,即 SSL Content Text */
    ctx = SSL_CTX_new(SSLv23_server_method());
    /* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 单独表示 V2 或 V3标准 */
    if (ctx == NULL) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }

    // 双向验证
    // SSL_VERIFY_PEER---要求对证书进行认证,没有证书也会放行
    // SSL_VERIFY_FAIL_IF_NO_PEER_CERT---要求客户端需要提供证书,但验证发现单独使用没有证书也会放行
    SSL_CTX_set_verify(ctx, SSL_VERIFY_NONE, NULL);
//    SSL_CTX_set_security_level(ctx,0);

    /* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 */
    if ( SSL_CTX_use_certificate_file(ctx, "/Users/liaokun/CLionProjects/http/cert/server.pem", SSL_FILETYPE_PEM) <= 0) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }

    /* 载入用户私钥 */
    if (SSL_CTX_use_PrivateKey_file(ctx, "/Users/liaokun/CLionProjects/http/cert/server.key", SSL_FILETYPE_PEM) <= 0) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }

    /* 检查用户私钥是否正确 */
    if (!SSL_CTX_check_private_key(ctx)) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }

    //1.创建一个socket套接字
    int local_fd = socket(AF_INET, SOCK_STREAM, 0);
    if (local_fd == -1)
    {
        cout << "socket error!" << endl;
        exit(-1);
    }
    cout << "socket ready!" << endl;

    //2.sockaddr_in结构体:可以存储一套网络地址(包括IP与端口),此处存储本机IP地址与本地的一个端口
    struct sockaddr_in local_addr;
    local_addr.sin_family = AF_INET;
    local_addr.sin_port = htons(port);  //绑定6666端口
    local_addr.sin_addr.s_addr =  INADDR_ANY ; //绑定本机IP地址

    //3.bind(): 将一个网络地址与一个套接字绑定,此处将本地地址绑定到一个套接字上
    int res = bind(local_fd, (struct sockaddr *)&local_addr, sizeof(local_addr));
    if (res == -1)
    {
        cout << "bind error!" << endl;
        exit(-1);
    }
    cout << "bind ready!" << endl;

    //4.listen()函数:监听试图连接本机的客户端
    //参数二:监听的进程数
    listen(local_fd, 10);
    cout << "等待来自客户端的连接...." << endl;
    SSL *ssl;
    while (true)//循环接收客户端的请求
    {
        //5.创建一个sockaddr_in结构体,用来存储客户机的地址
        struct sockaddr_in client_addr;
        socklen_t len = sizeof(client_addr);
        //6.accept()函数:阻塞运行,直到收到某一客户机的连接请求,并返回客户机的描述符
        int client_fd = accept(local_fd, (struct sockaddr *)&client_addr, &len);
        if (client_fd == -1)
        {
            cout << "accept错误\n"<< endl;

            exit(-1);
        }

        /* 基于 ctx 产生一个新的 SSL */
        ssl = SSL_new(ctx);
        /* 将连接用户的 socket 加入到 SSL */
        SSL_set_fd(ssl, client_fd);
        /* 建立 SSL 连接 */
        if (SSL_accept(ssl) == -1) {
            perror("accept");
            printf("SSL 连接失败!\n");
            close_ssl(ssl,client_fd);
            break;
        }
        //7.输出客户机的信息
        char *ip = inet_ntoa(client_addr.sin_addr);
        cout << "客户机: " << ip << " 连接到本服务器成功!" << endl;

        //8.输出客户机请求的信息
        char buff[1024] = {0};
        int size = SSL_read(ssl, buff, sizeof(buff));
        cout << "Request information:\n"
             << buff << endl;
        cout << size << " bytes" << endl;

        //9.使用第6步accept()返回socket描述符,即客户机的描述符,进行通信。
        SSL_write(ssl, message.c_str(), message.length());//返回message

        close_ssl(ssl,client_fd);
    }
    /* 释放 CTX */
    SSL_CTX_free(ctx);

    close(local_fd);
    return 0;
}

在浏览器请求,结果。

在这里插入图片描述

代码:https://github.com/kunliao/http.git

牛_弹琴
关注
  • 1
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
OpenSSL开发——利用SSL写的简单的C/S程序
oj847935591的博客
02-25 7043
先使用 openssl 生成服务器证书、私钥    openssl req -newkey rsa:2048 -nodes -keyout rsa_keyServer.pem -x509 -days 365 -out certServer.cer -subj "/C=CN/ST=GD/L=GZ/O=abc/OU=defg/CN=hijk/emailAddress=132456.com"帮助链接: ...
openssl-0.9.8k.zip
09-23
OpenSSL 0.9.8k:网络安全的基石与深度探索OpenSSL 是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现库,它包括各种加密算法、常用的密钥和证书操作,以及SSL/TLS协议的支持。在本文中,我们将深入...
使用OpenSSL实现https
中国华的博客
07-31 1648
一、配置OpenSSL生成证书 1、由于是实验,所以要自己安装OpenSSL(官方地址https://www.openssl.org)生成证书,其版本号分为1.1和1.0两个大分支,Centos 7开始使用1.0.2k版本,如果配置的SSL需要达到苹果要求也需要1.0.2版本。1.1依赖的libssl也是1.1版本的,而系统默认的libsso库是1.0版本(ls /usr/lib64/libssl...
SSL双向认证的认证模式设置问题
热门推荐
enjoy.day
11-23 1万+
今天介绍一下SSL双向认证服务器端认证模式的设置,很关键。 初始化ssl时,要使用SSL_CTX_set_verify函数设置验证模式,下面介绍下集中模式: OpenSSL 验证证书模式 OpenSSL 有四种验证证书的模式,这样可以自己根据验证结构来决定应用程序的行为。四种验证模式分别是: SSL_VERIFY_NONE:完全忽略验证证书的结果。当握手必须完成的话,就
https网络编程——使用openssl库自建根证书_openssl 生成根证书(1)
最新发布
2401_83817769的博客
05-13 395
建立serial,并在文件中填入0001,被签发的证书都会有序号和位置,记录这份证明在早先签署的和发布的单位签字并且发布的证明号码,这个文件能使用为记录签署和发布证明号码的根证明,每次签署和发行证明OpenSSL的根证明可能自动地更新这个文件。(具体没什么用,但必须要有)每次签署和发行证明OpenSSL的根证明可能自动地更新这个文件建立index.txt,这个文件能为纪录使用根证明签署和发布证明纪录。根证明普通的情况用途为对标志和发行传递的证明,再标志和问题终端证明由传递的证明(服务器,客户端)。
c++ openssl实现https
qq_42370809的博客
08-15 6155
c++使用openssl实现+https
openssl生成https证书 (转)
weixin_30536513的博客
01-25 75
1.首先要生成服务器端的私钥(key文件):openssl genrsa -des3 -out server.key 1024运行时会提示输入密码,此密码用于加密key文件去除key文件口令的命令:openssl rsa -in server.key -out server.key 2.openssl req -new -key server.key -out server.csr -...
SSL 服务器与客户端样本代码
白袍小将的博客
08-14 2694
本文为了方便进行SSL编程参考而整理,SSL编程调用的大多数流程就如如下样本代码,通过本样本代码可以比较快的测试SSL相关API。
openssl零基础入门
12-03
通过实际项目练习,如搭建HTTPS服务器、实现SSL/TLS客户端等,可以加深对OpenSSL的理解和应用。 10. **资源推荐** 《openssl编程》是一本由江南计算技术研究所赵春平著的书籍,对于初学者来说是一份很好的参考...
openssl源码
11-29
OpenSSL 是一个强大的安全套接层 (SSL) 和传输层安全 (TLS) 库,用于加密通信,广泛应用于网络服务器、应用程序以及...如果你计划研究这个源码,建议先从理解SSL/TLS协议和基本加密概念入手,再逐步探索实现细节。
openssl 编程
06-09
3. **OpenSSL源代码**:了解源代码有助于深入理解其工作原理,为自定义功能或调试错误提供便利。 4. **OpenSSL学习方法**:建议从官方文档入手,结合实际编程练习,逐步熟悉API接口和使用场景。 ### 第三章 堆栈 ...
openssl实现ssl握手调试工具
07-21
实现了数字证书的制作、SSL安全通讯、加解密操作等功能
RSA加解密在Delphi代码中的实现Demo
11-18
本例直接利用Indy的封装类及OpenSSL的DLL,并用Delphi来实现RAS的密钥对生成、加解密等过程,最大程度地简化了这个复杂的过程,让程序员能够把精力放在业务问题的解决上,减少在这方面探索时所耗费的精力和时间。...
opensslssl编程
zjun1988的博客
07-05 2402
openssl: openssl是一个实现ssl协议的开源产品,采用c语言开发,具备跨系统的性能。调用openssl函数就可以实现ssl加密的安全数据传输通道,从而保护客户端和服务端之间的数据安全。 加密方式: 不需要秘钥: Hash散列算法,加密不需要秘钥,解码只能撞库。 需要秘钥: 对称加密算法,如,D...
openssl生成https证书及nginx https配置
爱兰河少
05-31 2295
一、nginx根目录下创建 cert 目录,用于存放https证书。二、openssl生成https证书证书。三、nginx配置https
HTTPSOpenSSL 是什么关系?
weixin_39466605的博客
05-07 4000
HTTPS是一种协议,等于HTTP+TLS(由于历史原因,SSL3.0之后就被TLS1.0替代了)。openssl是一套开源工具集,主要有两个特性:实现ssl2,ssl3,TLSv1,TLSv1.1,TLSv1.2协议。实现目前常用的加密算法。没有一个非常精准的方法来判断HTTPS是否使用openssl,但是根据网站返回的server类型,可以大致估计是否使用了openssl,比如如果使用apa...
基于openssl实现C/S架构中的https会话
weixin_33895695的博客
04-10 155
在实际生产中实现公司内部的web服务器加密访问时,我们就需要实现公司内部的私钥CA,并且完成对web服务器的签署请求,这样我们就可以在自身的内部机构实现对数据的机密性、完整性、身份验证的访问与传输 实验的准备:实验是在vm9上完成的,一共用了两台虚拟机;一台在CA签署服务器(IP地址是172.16.51.18),另一台是web服务器(IP地址是172.16.51.17) ...
基于libevent和openssl实现https客户端
m0_43407388的博客
05-17 531
【代码】基于libevent和openssl实现https客户端。
openssl安装及使用
Mzxy_1的博客
04-18 2718
如上所述,Linux上可以使用apt-get命令安装,而在Windows上可以使用安装文件安装OpenSSL,安装完成后就可以使用OpenSSL的命令行工具执行安全任务。安装成功后,OpenSSL的命令行工具就会安装到Windows系统,可以使用OpenSSL的命令行工具执行一些基本的操作,如创建证书,生成密钥,加密文件等。上述命令只是OpenSSL的一部分,OpenSSL还有更多的功能可以使用,例如,可以使用OpenSSL创建SSL证书,生成HMAC,压缩文件等。1.在Linux下安装OpenSSL
linux openssl实现https
01-12
要在Linux上使用OpenSSL实现HTTPS,可以按照以下步骤进行操作: 1. 生成RSA密钥文件: ```shell openssl genrsa -des3 -passout pass:x -out ssl.pass.key 2048 openssl rsa -passin pass:x -in ssl.pass.key -out ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值