Srs DTLS 证书初始化流程

已于 2022-01-21 16:05:08 修改
阅读量854 收藏
点赞数
文章标签: webrtc srs
于 2022-01-21 16:03:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25543483/article/details/122623173
版权 
srs_error_t SrsDtlsCertificate::initialize() {
	// 初始化SRT
	srs_assert(srtp_init() == 0);
	
	// 获取ECDSA算法模式,为true表示使用ESDSA算法(椭圆曲线数字签名算法)
	ecdsa_mode = _srs_config->get_rtc_server_ecdsa();

	// 生成dtls密钥,可使用RSA或者ECDSA算法生成密钥
	dtls_pkey = EVP_PKEY_new();
	if (!ecdsa_mode) { // By RSA
        RSA* rsa = RSA_new();
        srs_assert(rsa);

        // Initialize the big-number for private key.
        BIGNUM* exponent = BN_new();
        srs_assert(exponent);
        BN_set_word(exponent, RSA_F4);

        // Generates a key pair and stores it in the RSA structure provided in rsa.
        // @see https://www.openssl.org/docs/man1.0.2/man3/RSA_generate_key_ex.html
        int key_bits = 1024;
        RSA_generate_key_ex(rsa, key_bits, exponent, NULL);

        // @see https://www.openssl.org/docs/man1.1.0/man3/EVP_PKEY_type.html
        srs_assert(EVP_PKEY_set1_RSA(dtls_pkey, rsa) == 1);

        RSA_free(rsa);
        BN_free(exponent);
    }
    if (ecdsa_mode) { // By ECDSA, https://stackoverflow.com/a/6006898
        eckey = EC_KEY_new();
        srs_assert(eckey);

        // Should use the curves in ClientHello.supported_groups
        // For example:
        //      Supported Group: x25519 (0x001d)
        //      Supported Group: secp256r1 (0x0017)
        //      Supported Group: secp384r1 (0x0018)
        // @remark The curve NID_secp256k1 is not secp256r1, k1 != r1.
        // TODO: FIXME: Parse ClientHello and choose the curve.
        // Note that secp256r1 in openssl is called NID_X9_62_prime256v1, not NID_secp256k1
        // @see https://stackoverflow.com/questions/41950056/openssl1-1-0-b-is-not-support-secp256r1openssl-ecparam-list-curves
        EC_GROUP* ecgroup = EC_GROUP_new_by_curve_name(NID_X9_62_prime256v1);
        //EC_GROUP* ecgroup = EC_GROUP_new_by_curve_name(NID_secp384r1);
        srs_assert(ecgroup);
#if OPENSSL_VERSION_NUMBER < 0x10100000L // v1.1.x
        // For openssl 1.0, we must set the group parameters, so that cert is ok.
        // @see https://github.com/monero-project/monero/blob/master/contrib/epee/src/net_ssl.cpp#L225
        EC_GROUP_set_asn1_flag(ecgroup, OPENSSL_EC_NAMED_CURVE);
#endif

        srs_assert(EC_KEY_set_group(eckey, ecgroup) == 1);
        srs_assert(EC_KEY_generate_key(eckey) == 1);

        // @see https://www.openssl.org/docs/man1.1.0/man3/EVP_PKEY_type.html
        srs_assert(EVP_PKEY_set1_EC_KEY(dtls_pkey, eckey) == 1);

        EC_GROUP_free(ecgroup);
    }
	// 使用生成的key生成证书
	dtls_cert = X509_new();
    srs_assert(dtls_cert);
    if (true) {
        X509_NAME* subject = X509_NAME_new();
        srs_assert(subject);

        int serial = (int)srs_random();
        ASN1_INTEGER_set(X509_get_serialNumber(dtls_cert), serial);

        const std::string& aor = RTMP_SIG_SRS_DOMAIN;
        X509_NAME_add_entry_by_txt(subject, "CN", MBSTRING_ASC, (unsigned char *) aor.data(), aor.size(), -1, 0);

        X509_set_issuer_name(dtls_cert, subject);
        X509_set_subject_name(dtls_cert, subject);

        int expire_day = 365;
        const long cert_duration = 60*60*24*expire_day;

        X509_gmtime_adj(X509_get_notBefore(dtls_cert), 0);
        X509_gmtime_adj(X509_get_notAfter(dtls_cert), cert_duration);

        X509_set_version(dtls_cert, 2);
        srs_assert(X509_set_pubkey(dtls_cert, dtls_pkey) == 1);
        srs_assert(X509_sign(dtls_cert, dtls_pkey, EVP_sha1()) != 0);

        X509_NAME_free(subject);
    }

	// 组装SDP中DTLS fingerprint信息,在创建dtls连接的时候,服务端会根据客户端建立的ssl获取到其证书,获取到证书之后,通过sdp中的加密算法,推算出对应的签名值,并与sdp中值进行比较,如果不对,那么证书被篡改,链接失效
	if (true) {
        char fp[100] = {0};
        char *p = fp;
        unsigned char md[EVP_MAX_MD_SIZE];
        unsigned int n = 0;

        // TODO: FIXME: Unused variable.
        /*int r = */X509_digest(dtls_cert, EVP_sha256(), md, &n);

        for (unsigned int i = 0; i < n; i++, ++p) {
            sprintf(p, "%02X", md[i]);
            p += 2;

            if(i < (n-1)) {
                *p = ':';
            } else {
                *p = '\0';
            }
        }

        fingerprint.assign(fp, strlen(fp));
        srs_trace("fingerprint=%s", fingerprint.c_str());
    }
}
Kevin-Zang
关注
srs4.0 webrtc分析(五)网络模块
lcalqf的专栏
03-12 1782
网络模块介绍 webrtc 中音视频数据是通过udp传输,所以srs4.0要支持webrtc得开启一个udp server进行收发流。 具体代码见文件:srs_app_rtc_server.cpp 监听逻辑 srs_error_t SrsRtcServer::listen_udp() { //首先获得监听的IP、PORT int port = _srs_config->get_rtc_server_listen(); string ip = srs_any_address_fo
webrtc(native C++) + srs 拉流客户端
宝安小雨
09-26 1253
同时因为VideoRenderer类中也含有窗口类因此需要重新定义,去除其中的窗口类,这个类也就是我们自定义的渲染器,这个类继承自publicrtc::VideoSinkInterface。首先修改void Conductor::AddTracks()函数,在推流阶段这里是把音视频流轨道添加进去,现在需要改动一下,需要添加好接收的流轨道。,其中有个OnFrame函数必须要重写,因为将VideoRenderer类的对象注册进webrtc后,当视频帧来时调用OnFrame函数来获得。这个函数本来是执行以下。
SRS4.0源代码分析之WebRTC推流端处理
irainsa的博客
04-04 368
本章以WebRTC推流端连接建立的过程为线索,分析了过程中各种协议报文的基本处理流程:1、Lite-ICE机制、STUN Binding Request和STUN Binding Response报文格式2、DTLS工作原理、为SRTP获取密钥并完成初始化3、音视频RTP报文接收并放入对应的拉流端消费者队列,以及更新NACK队列4、定时发送RTCP报文与接收处理对端发送的RTCP报文10、SRS4.0源代码分析之WebRTC推流端处理_黑板报的博客-CSDN博客。
webrtc推拉流 srs报错:DTLS_HANG DTLS: > Hang, done=0, version=-1, arq=0
宝安小雨
11-08 679
原因是因为conf/rtc.conf中candidate的配置,当推拉流浏览器在本地时,如果srs也在本地,那么可以使用官网默认。如果srs在公网上,由于srs是lite-ice端,导致他不会主动到srs获取自己的公网ip,因此需要在这里帮他指定 ,他才会把这个ip放到sdp中,发给full-ice的浏览器客户端。切忌什么时候都不可以写为127.0.0.1,也会报上述错误,如果浏览器和srs都在一个pc上,也可以使用 “*” 如"candidate *;
互联网通信安全之 WebRTC 传输安全机制
weixin_44764152的博客
04-12 1054
全社会数字化转型加速叠加实时通信技术的蓬勃发展,实时通信已经已经渗透到各行各业,成为了人们现代化生活中不可或缺的重要交流手段。关注【融云全球互联网通信云】了解更多 其中,WebRTC 的出现更是使实时通信技术得以广泛应用,它提供了一套几乎所有主流浏览器都支持的标准 API,让浏览器之间无插件化的音视频互通成为可能,大大降低了音视频开发的门槛。视频会议、视频招聘、远程医疗等等需要实时互动的场景中,都可以看到 WebRTC 的身影。 在 WebRTC 中,为了保证媒体传输的安全性,引入了 DTLS
SRS流媒体服务(三)SRS服务http(s) api操作SRS服务
weixin_44341110的博客
01-16 1万+
SRS流媒体服务器提供了强大的API,供开发者根据自己的业务场景定制自己的流媒体服务。 本机环境: 虚拟机VMPRO15安装Linux系统:CentOS7 SRS服务版本:SRSv4-b2-4.0.215(SRSv4已于2021年12月正式发布稳定版本) Linux开启端口与服务: Linux网络环境:192.168.5.104 物理机本地网络环境:192.168.5.101 一、 测试SRS服务提供的http api首先需要在SRS配置文件中开启对应服务: 二、访问..
SDP中fingerprint的作用
qq_27031005的博客
01-15 1742
SDP中fingerprint的作用 sdp信息中会出现如下字段 a=fingerprint:sha-256 5D:60:1C:B7:B3:A7:C6:32:E8:6D:54:80:00:4B:26:0A:A1:62:CB:57:79:83:2D:69:A6:D9:B9:28:6A:77:71:C7 a=setup:actpass 那么fingerprint是在什么时候使用呢,翻阅mediasoup代码可以看到,在创建dtls连接的时候,会根据客户端建立的ssl获取到其证书,获取到证书之后,通过sdp中的
DTLS协议详解
qq_43559669的博客
12-22 1978
晚上写
物联网场景下-DTLS证书模式交互流程分析
WangYouJin321的博客
05-18 1674
\报文交互流程图:1.      客户端发送client_hello报文,其cookie字段的值为空,报文段的内容除cookie外,还有客户机产生的32字节的随机数,其中前4字节为时间戳,后28字节为系统产生的随机数。此外,该报文段的内容还有客户机支持的加密方式(PSK或者ECC)和压缩方式,供服务器进行选择。2.      服务受到cookie报文后,回应hello_verify_request...
视频直播基础知识
jz_x的专栏
02-08 2855
一、引言 在线教育平台利用一切线上工具进行教育活动,采用网络先进技术改变师生的交流方式,进一步提高学生掌握知识的效率。随着在线教育直播平台的如火如荼,我们有必要对直播平台相关的基础知识点有一个系统性的了解。如图一所示。 图一 ...
DTLS(DatagramTLS)升级包
10-31
Windows 7 SP1和 Windows Server 2008 R2 SP1通过此包升级后,在慢速网络下(WAN、ADSL)可以基于UDP协议实现TLS(传输层安全),从而减少基于TCP实现TLS的带宽需要
Android WebRTC实现音视频对讲
OldApple_MrZ的博客
11-12 2813
WebRTC新建Android工程 并添加依赖渲染视频的view初始化控件初始化PeerConnectionFactor注册事件监听发送offer收到Offer发送answer收到answerCandidate变化服务端代码找到自己电脑的ip 慕课网课程webrtc入门学习后的总结 新建Android工程 并添加依赖 build.gradle android { ... compi...
WebRTC 传输安全机制第二话:深入显出 SRTP 协议
m0_59246409的博客
06-15 812
通过 DTLS 协商 后,RTC 通信的双方完成 MasterKey 和 MasterSalt 的协商。接下来,我们继续分析在 WebRTC 中,如何使用交换的密钥,来对 RTP 和 RTCP 进行加密,实现数据的安全传输。同时,本文会对 libsrtp 使用中,遇到的问题的进行解答,例如,什么是 ROC,ROC 为什么是 32-bits?为什么会返回 error_code=9, error_code=10?交换的密钥有生命周期吗,如果有是多长时间呢?阅读本篇之前建议阅读 DTLS 协商篇,两者结合,效果更
WebRTC DTLS 分析
aggresss
08-15 3094
DTLS(Datagram Transport Layer Security) 提供了 UDP 传输场景下的安全机制,能防止窃听、篡改、冒充等问题。
如何给srs配置https协议,并通过nginx转发请求访问到srs
最新发布
hxyzs的博客
03-12 2074
nginx服务器(公网暴露访问,挂域名)SRS服务器(内网IP访问,也可公网IP访问,无域名)
10、SRS4.0源代码分析之WebRTC推流端处理
黑板报
10-15 2861
SRS4.0源代码分析之WebRTC推流端处理
DTLS协议中client/server的认证过程和密钥协商过程
热门推荐
pengkunlun_hit的博客
08-10 1万+
DTLS协议是基于UDP的安全协议,与基于TCP的SSL/TLS协议安全机制类似,并复用了SSL/TLS协议70%的代码。 本文章首先介绍了DTLS的特点和协议层次,然后具体介绍了DTLS在client和server建立连接过程的具体交互步骤、每个报文段的内容和作用。 通过完整地阅读DTLS源代码,本文深入分析了DTLS的安全机制,并为TLS协议的握手过程分析提供了参考。
DTLS 详细介绍
whshahaha的博客
06-04 2789
DTLS(Datagram Transport Layer Security)是一种基于UDP协议的安全传输协议,它提供了与TLS()类似的安全性和数据完整性保护,同时也具有UDP协议的优点,如低延迟和支持多路复用等。DTLS协议是建立在UDP协议之上的,因此它适用于对延迟敏感的应用程序,如VoIP(Voice over IP)和视频流媒体等。与TLS协议不同的是,DTLS协议在传输层对数据进行加密和认证,而TLS协议则是在传输层之上对数据进行加密和认证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值