TLS/SSL 通讯中的证书问题

最新推荐文章于 2024-09-23 17:50:03 发布
最新推荐文章于 2024-09-23 17:50:03 发布
阅读量1.6k 收藏 1
点赞数
文章标签: ssl 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/munan0077/article/details/123223672
版权

大概写点备忘

在进行基于TLS/SSL的以太网通讯时,有关证书遵循如下规则:

在设置证书校验模式时

今天介绍一下SSL双向认证服务器端认证模式的设置,很关键。

初始化ssl时,要使用SSL_CTX_set_verify函数设置验证模式,下面介绍下集中模式:

OpenSSL 验证证书模式
OpenSSL 有四种验证证书的模式,这样可以自己根据验证结构来决定应用程序的行为。四种验证模式分别是:

SSL_VERIFY_NONE:完全忽略验证证书的结果。当握手必须完成的话,就选中这个选项。其实真正有证书的人很少,尤其是在中国,那么如果 SSL 运用于一些免费的服务,比如 EMAIL 的时候,SERVER 端最好采用这个模式。
SSL_VERIFY_PEER:希望验证对方的证书。这个是最一般的模式。对 CLIENT 来说,如果设置了这样的模式,验证SERVER的证书出了任何错误,SSL 握手都告吹。对 SERVER 来说,如果设置了这样的模式,CLIENT 倒不一定要把自己的证书交出去。如果 CLIENT 没有交出证书,SERVER 自己决定下一步怎么做。
SSL_VERIFY_FAIL_IF_NO_PEER_CERT:这是 SERVER 使用的一种模式,在这种模式下, SERVER 会向 CLIENT 要证书。如果 CLIENT 不给,SSL 握手告吹。
SSL_VERIFY_CLIENT_ONCE: 这是仅能使用在 SSL SESSION RENEGOTIATION 阶段的一种方式。如果不是用这个模式的话,那么在 RENEGOTIATION 的时候,CLIENT 都要把自己的证书送给 SERVER,然后做一番分析。这个过程很消耗 CPU 时间的,而这个模式则不需要 CLIENT 在 RENEGOTIATION 的时候重复送自己的证书了。
————————————————
版权声明:本文为CSDN博主「enjoy嚣士」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/u013919153/article/details/78616737

当选择SSL_VERIFY_NONE时,可以不调用CA根证书设置和加载
SSL_CTX_load_verify_locations (ctx, CACERT, NULL);
因为不需要验证双方证书,自然也就不需要CA根证书了。(此处是我的个人理解,希望共同讨论)
注意:这里虽然不验证对方证书,但是通讯还是加密的,客户端用的是服务器证书所带的公钥来完成随机数的加密(握手阶段服务器器发自己的证书给客户端,只是证书不被校验罢了),后续通讯中则使用基于该随机数的对称加密算法。

当选择SSL_VERIFY_PEER时,必须要调用CA根证书设置和加载(此处是我的个人理解,希望共同讨论)
SSL_CTX_load_verify_locations (ctx, CACERT, NULL);
因为要验证对方证书必须要有签发对方证书的CA证书
且还需要调用
/加载自身证书/
SSL_CTX_use_certificate_file (ctx, MYCERTF, SSL_FILETYPE_PEM)
/加载自身私钥/
SSL_CTX_use_PrivateKey_file (ctx, MYKEYF, SSL_FILETYPE_PEM)
/验证自身私钥和证书是否匹配/
SSL_CTX_check_private_key (ctx)

参考博客园博主欢跳的心文章https://www.cnblogs.com/etangyushan/p/3679457.html

munan0077
关注
解密TLS协议的数字证书的生成验证过程
村中少年的专栏
07-25 852
本文介绍数字证书的各个字段以及数字证书的生成和验证的流程
TLS/SSL
不见长安见晨雾
05-16 685
TLS/SSL简介 SSL/TLS是世界上应用最广泛的密码通信方法。 1:不能被窃听——机密性问题 2:不能被篡改——完整性问题 3:确认是否是真正的——认证的问题 要确保机密性,可以使用对称密码。使用伪随机数生成器生成密钥。若要将对称密码的密钥发送给通信对象,可以使用公钥密码或者Diffie-Hellman密钥交换。 要识别篡改,对数据进行认证,可以使用消息认证码。消息认证码是使用单向散列函数来实现的。 要对通信对象进行认证,可以使用对公钥加上数字签名所生成的证书。 密码套件 SSL/TLS提供了一种密码
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理
yygr的博客
02-13 1699
什么是 SSL, 什么是 TLS 呢?官话说 SSL安全套接层 (secure sockets layer), TLSSSL 的继任者,叫传输层安全 (transport layer security)。说白点,就是在明文的上层和 TCP 层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP 协议是明文传输,加上 SSL 层之后,就有了雅称 HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。
TLS握手证书链的校验
chinamen1的博客
02-24 1285
看一遍忘一遍,还是自己写一遍,看看这次能记多久。在TLS握手过程,通过证书校验认证服务端的身份和交换加密秘钥,握手完成之后后续就可以进行加密数据传输。在浏览器地址栏上点击锁的图标,能打开查看证书的详细信息。首先可以看到证书包含了多个层级,最下层的是我们直接访问的网站的服务证书,最上层是根证书。每个证书都属于一个机构组织。除了根证书是由根CA自己签发给自己的,其他证书都是由上一级组织用上一级的证书签发出来的,所以形成了层级结构。点开细节可以看到证书的更多信息,主要看证书包含什么信息?
ssl证书,什么是根证书证书证书连又是什么
最新发布
u010674101的专栏
09-23 1266
证书是整个信任链的顶点,由 CA 自签名并存储在操作系统和浏览器证书由根证书或其他证书签发,用于签发服务器证书,增强安全性。服务器证书是最终用来保护网站的SSL证书证书链是由服务器证书证书和根证书组成的层级信任链,保证浏览器信任网站的安全性。
TLS证书验证过程
新手写博客的专栏
09-19 635
证书颁发机构签发的根证书内包含根证书颁发机构的公钥,并且该根证书嵌入在浏览器,然后,根证书颁发机构也会用自己的私钥给证书颁发机构产生的证书进行签名,接下来,证书颁发机构会用自己的私钥给服务器证书进行签名。所以,连接服务器的用户最终拿到的是包含证书颁发机构的证书和服务器证书,用户应当用证书颁发机构的公钥验证服务器证书的签名,并用保存在自己浏览器的根证书颁发机构的公钥验证证书的签名,对吗?证书的签名是由根证书颁发机构签发的,客户端验证证书是为了建立信任链,以验证服务器证书
SSL双向认证的认证模式设置问题
enjoy.day
11-23 1万+
今天介绍一下SSL双向认证服务器端认证模式的设置,很关键。 初始化ssl时,要使用SSL_CTX_set_verify函数设置验证模式,下面介绍下集模式: OpenSSL 验证证书模式 OpenSSL 有四种验证证书的模式,这样可以自己根据验证结构来决定应用程序的行为。四种验证模式分别是: SSL_VERIFY_NONE:完全忽略验证证书的结果。当握手必须完成的话,就
SSL 服务器与客户端样本代码
白袍小将的博客
08-14 2789
本文为了方便进行SSL编程参考而整理,SSL编程调用的大多数流程就如如下样本代码,通过本样本代码可以比较快的测试SSL相关API。
TLS/SSL工作流程
Jack_chao_的博客
08-04 1007
CA证书
邮件TLS/SSL加密通信
秦庚辰的博客
06-06 5946
邮件TLS/SSL加密通信 问题 本案例要求为基于Postfix+Dovecot的邮件服务器提供加密通信支持,主要完成以下任务操作: 1)为SMTP服务(postfix)添加TLS/SSL加密通信支持 2)基于dovecot配置POP3s+IMAPS加密通信支持 3)客户端收发信测试,确保加密的邮件通信可用 方案 使用两台RHEL6虚拟机,其svr5作为CA服务器,而mail作为测试用的Post...
TCP和TLS/SSL会话细节
热门推荐
joye123的博客
10-08 1万+
TCP和TLS/SSL会话细节 TCP数据段格式说明 TCP建立连接和断开连接细节 Https如何保证通信安全 一次Https网络请求通信细节 网络数据包分析工具wireshark的使用 问题: SYN、ACK、FIN具体含义是什么? TCP建立连接超时的表现? 为什么需要证书来下发服务端公钥? 客户端是如何验证证书合法性的? 对称秘钥是如何协商出来的? 为什么不直接让客户端自己生成一个秘钥发...
探索https原理,用openssl自实现https
lkun2002的博客
09-17 2680
基于openssl和socket,实现ssl和https。并在浏览器访问
SSL编程指南
rzytc的博客
02-13 1万+
本文将介绍如何使用openssl APIs 实现一个简单的SSL 客户端和服务端虽然SSL客户端和服务端在创建和配置上有所区别,但它们本质上的步骤可以总结为如下图,具体步骤将在后面章节介绍:初始化SSL库在SSL应用程序调用其他Openssl APIs,需要先用下面的APIs进行初始化:SSL_library_init(); /* 为SSL加载加密和哈希算法 */
用openssl进行SSL编程
zzhongcy的专栏
03-24 1万+
主要介绍openssl进行SSL通信的一些函数以及过程,主要是初始化过程,至于数据的接收以及后续处理可以具体问题具体分析。 oad所有的SSL算法:   OpenSSL_add_ssl_algorithms();    建立SSL所用的method:   SSL_METHOD *meth=SSLv23_method();    初始化上下文情景:   SSL_CTX
openssl 常用api的作用与使用
小x的博客
12-30 4751
服务端编写步骤 SSL_library_init SSL库的初始化 OpenSSL_add_all_algorithms 载入所有的SSL算法 SSL_load_error_strings() 载入所有SSL错误消息 SSL_CTX_new() 产生一个SSL CTX SSL_CTX_use_certificate_file 载入用户的数字证书 X509 *SSL_get_peer_certificate(const SSL *ssl);// 获取对方的数字证书 ...
openssl 从内存直接加载CA证书
u011983700的专栏
10-11 5062
参考链接 openssl 从内存加载ca证书 - Zzz...y - 博客园 (cnblogs.com) C ++ / OpenSSL:使用根CA从缓冲区而不是文件(SSL_CTX_load_verify_locations) - IT屋-程序员软件开发技术分享社区 (it1352.com) poha.mqtt.c 库使用tls连接时,默认是通过文件方式加载证书的。使用SSL_CTX_load_verify_locations接口加载CA文件。想要改成从内存直接加载ca证书,将证书硬编码进程序,防止
rabbitmq 配置安全加密的ssl连接
zhujun2008的博客
09-28 2325
Greyfoss 为自定义的证书签发机构名称,该脚本会生成一个ca目录,存储证书颁发机构的信息以及签发的证书# 生成服务端公钥和私钥 rabbit-server为生成的密钥前缀 123456为该秘钥自定义的密码# 生成客户端公钥和私钥#使用java的keytool工具生成客户端需要的证书,用以支持服务端和客户端进行通信,生成该证书需要提前安装配置java环境,此处默认已正确安装java环境-import 将已签名数字证书导入密钥库。
Golang HTTPS 忽略证书验证
Ch3nnn的博客
06-15 2392
​ 通过设置TLSClientConfig: &tls.Config{InsecureSkipVerify: true}, 来取消对HTTPS的证书验证,以处理x509: certificatesignedby unknown authority ​
OpenSSL简介
jun2ran的专栏
04-02 1万+
微信小程序SSL证书配置与TLS版本解决指南
"微信小程序在与第三方服务器通讯时需要满足5个条件,包括使用已备案的域名、安装SSL证书以实现HTTPS、支持TLS 1.0、1.1、1.2版本,设置合法域名以及确保服务器系统兼容TLS版本。TLS版本问题可能导致通讯失败,特别...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值