proxy使用openssl 处理的流程

最新推荐文章于 2024-04-15 08:42:37 发布
最新推荐文章于 2024-04-15 08:42:37 发布
阅读量660 收藏 2
点赞数
分类专栏: C++ language
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31442743/article/details/112038770
版权

SSL/TLS OpenSSL ClientHello 握手 密钥套件
关键词由CSDN通过智能技术生成

client ---->proxy---->server

第一步:处理client发送的client hello
第二步:和server 握手
第三步:和client 握手

#include <stdio.h> 
#include <stdlib.h> 
#include <errno.h> 
#include <string.h> 
#include <sys/types.h> 
#include <netinet/in.h> 
#include <sys/socket.h> 
#include <sys/wait.h> 
#include <unistd.h> 
#include <arpa/inet.h> 
#include <openssl/ssl.h> 
#include <openssl/err.h> 
#include <string.h>
#include <iostream>

#define MAXBUF 4096

int peek(int sock, char *data, int len)
{
    int n;

again:
    errno = 0;
    n = ::recv(sock, data, len, MSG_PEEK);
    if (n < 0)
    {
        if (errno == EAGAIN)
        {

            return n;
        
        }
        if (errno == EINTR)
        {
            goto again;
        
        }

        printf("sock: [%d]\n", sock);
    
    }

    printf("sock: %d, peek: %d\n", sock, n);

    return n;

}

static int session_secret_cb(SSL *s, void *secret,
        int *secret_len,
        STACK_OF(SSL_CIPHER) *peer_ciphers,
        SSL_CIPHER **cipher, void *arg)
{
    *cipher = NULL;

    for (int i = 0; i < SKM_sk_num(SSL_CIPHER, peer_ciphers); i ++)
    {
        SSL_CIPHER *c = SKM_sk_value(SSL_CIPHER, peer_ciphers, i);


        printf("index: %d, SSL_CIPHER: id: %lu, name: %s, version: %s\n",
                i, SSL_CIPHER_get_id(c), SSL_CIPHER_get_name(c), SSL_CIPHER_get_version(c));
    
    }
    SSL_CIPHER *c = SKM_sk_value(SSL_CIPHER, peer_ciphers, 1);
    std::string str;

    str = SSL_CIPHER_get_name(c);

    printf("str is %s\n",str.c_str());

    return 1;

} 

int main(int argc, char * *argv) 
{
    int sockfd, new_fd;
    socklen_t len;
    struct sockaddr_in my_addr, their_addr;
    unsigned int myport, lisnum;
    char buf[MAXBUF + 1];
    SSL_CTX * ctx;
    //指定监听端口
    if (argv[1]) 
    {
        myport = atoi(argv[1]);
    }
    else 
    {
        myport = 8888;
    }
    //最大客户端连接数
    if (argv[2]) 
    {
        lisnum = atoi(argv[2]);
    }
    else 
    {
        lisnum = 2;
    }
    /* SSL 库初始化*/
    SSL_library_init();
    /* 载入所有SSL 算法*/
    OpenSSL_add_all_algorithms();
    /* 载入所有SSL 错误消息*/
    SSL_load_error_strings();
    /* 以SSL V2 和V3 标准兼容方式产生一个SSL_CTX ,即SSL Content Text */
    ctx = SSL_CTX_new(SSLv23_server_method());
    /* 
    也可以用SSLv2_server_method() 或SSLv3_server_method() 单独表示V2 或V3标准
    */
    if (ctx == NULL) 
    {
        ERR_print_errors_fp(stdout);
        exit(1);
    }
    /* 载入用户的数字证书, 此证书用来发送给客户端。证书里包含有公钥*/
    if (SSL_CTX_use_certificate_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0) 
    {
        ERR_print_errors_fp(stdout);
        exit(1);
    }
    /* 载入用户私钥*/

    if (SSL_CTX_use_PrivateKey_file(ctx, argv[5], SSL_FILETYPE_PEM) <= 0) 
    {
        ERR_print_errors_fp(stdout);
        exit(1);
    }
    /* 检查用户私钥是否正确*/
    if (!SSL_CTX_check_private_key(ctx)) 
    {
        ERR_print_errors_fp(stdout);
        exit(1);
    }

    /* 开启一个socket 监听*/
    if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) 
    {
        perror("socket");
        exit(1);
    } 
    else 
    {
        printf("socket created\n");
    }
    bzero( &my_addr, sizeof(my_addr));
    my_addr.sin_family = PF_INET;
    my_addr.sin_port = htons(myport);
    
    //设置监听的IP
    if (argv[3]) 
    {
        my_addr.sin_addr.s_addr = inet_addr(argv[3]);
    }
    else 
    {
        //如果用户没有指定监听端口,则默认监听0.0.0.0(任意IP)
        my_addr.sin_addr.s_addr = INADDR_ANY;
    }
    if (bind(sockfd, (struct sockaddr * ) &my_addr, sizeof(struct sockaddr)) == -1) 
    {
        perror("bind");
        exit(1);
    } 
    else
    {
        printf("binded\n");
    } 
    if (listen(sockfd, lisnum) == -1) 
    {
        perror("listen");
        exit(1);
    } 
    else 
    {
        printf("begin listen\n");
    }
    while (1) 
    {
        SSL * ssl;
        len = sizeof(struct sockaddr);
        /* 等待客户端连上来*/
        if ((new_fd = accept(sockfd, (struct sockaddr * ) & their_addr, &len)) == -1) 
        {
            perror("accept");
            exit(errno);
        } 
        else 
        {
            printf("server: got connection from %s, port %d, socket %d\n", inet_ntoa(their_addr.sin_addr), ntohs(their_addr.sin_port), new_fd);
        }
        /* 基于ctx 产生一个新的SSL */
        ssl = SSL_new(ctx);
        /* 将连接用户的socket 加入到SSL */
        SSL_set_fd(ssl, new_fd);




        char buf[4096];
        int len = peek(new_fd,buf,sizeof(buf));
        BIO *in = NULL;
        BIO *out = NULL;
        in = BIO_new(BIO_s_mem());
        out = BIO_new(BIO_s_mem());

        if (BIO_write(in, buf, len) != len)
        {   
            printf("BIO_write failed\n");
            break;
            
        
        }   

        SSL_set_bio(ssl, in, out);




        SSL_set_session_secret_cb(ssl, session_secret_cb, NULL);

        /* 建立SSL 连接*/
        if (SSL_accept(ssl) == -1) 
        {
            printf("accept\n");
            //close(new_fd);
            //break;
            SSL_shutdown(ssl);
            SSL_free(ssl);
            ssl = NULL;
        }

        /* 基于ctx 产生一个新的SSL */
        ssl = SSL_new(ctx);
        /* 将连接用户的socket 加入到SSL */
        SSL_set_fd(ssl, new_fd);
        int ret = SSL_accept(ssl);        
        if (ret == -1)
        {
            printf("accept error\n");
        }
        printf("continue\n");
        const char *servername;
        servername = SSL_get_servername(ssl, TLSEXT_NAMETYPE_host_name);
        printf("server name is %s\n",servername);
        const SSL_CIPHER *cipher = SSL_get_current_cipher(ssl);
        printf("client ssl cipher: id: %lu, name: %s, version: %s\n",
                SSL_CIPHER_get_id(cipher), SSL_CIPHER_get_name(cipher), SSL_CIPHER_get_version(cipher));
        /* 开始处理每个新连接上的数据收发*/
        bzero(buf, MAXBUF + 1);
        strcpy(buf, "HTTP/1.1 200 OK\nContent-Type: text/plain\nContent-Length: 51\n\r\nHello World! My payload includes a trailing CRLF.");
        /* 发消息给客户端*/
        len = SSL_write(ssl, buf, strlen(buf));
        if (len <= 0) 
        {
            printf("消息'%s'发送失败!错误代码是%d,错误信息是'%s'\n", buf, errno, strerror(errno));
            goto finish;
        } 
        else 
        {
            printf("消息'%s'发送成功,共发送了%d 个字节!\n", buf, len);
        }
        bzero(buf, MAXBUF + 1);
        /* 接收客户端的消息*/
        
        len = SSL_read(ssl, buf, MAXBUF);
        if (len > 0) 
        {
            printf("接收消息成功:'%s',共%d 个字节的数据\n", buf, len);
        }
        else 
        {
            printf("消息接收失败!错误代码是%d,错误信息是'%s'\n", errno, strerror(errno));
        }
        /* 处理每个新连接上的数据收发结束*/
        finish:
        /* 关闭SSL 连接*/
        SSL_shutdown(ssl);
        /* 释放SSL */
        SSL_free(ssl);
        /* 关闭socket */
        close(new_fd);
    }
    /* 关闭监听的socket */
    close(sockfd);
    /* 释放CTX */
    SSL_CTX_free(ctx);
    return 0;
}

获取client hello 使用了peek方法,他的意思是提前看一眼的意思,但是并没有把数据取走,
这样使用SSL_accept就会得到err。
使用SSL_set_session_secret_cb函数可以获取client hello中的密钥套件。

与server 握手。

之后再次和client进行握手,需要再次调用SSL_accept函数

Linux 下Apache安装与OpenSSL配置、代理配置
weixin_45628039的博客
10-24 1045
前言 本文章内容是根据自己安装实践总结所写。在实操中,可能Linux环境不同,会出现不同问题,需要耐心查阅资料,多尝试解决。 目录 Apache安装 Apache OpenSSL配置 Apache 方向代理配置 准备 在Linux用户目录下,创建一个文件夹,用来存放安装所需要的gz包。这里我创建了个ApacheIns的文件夹,文件名可随意哦! 下载所需安装包。 链接:https://pan.baidu.com/s/1DdrTCZn1vJMpRLb9qwFkJQ 密码:aliy 一、Apache安装
OpenSSL个人心得
走达的博客
03-27 1294
安装 Windows 地址:http://slproweb.com/products/Win32OpenSSL.html 配置环境变量 配置两个环境变量,一个是OPENSSL_HOME,另一个要配置到Path中 OPENSSL_HOME:就是 OpenSSL 的安装目录 Path:就是OPENSSL_HOME目录下的bin目录 命令 ecparam 椭圆曲线密钥参数生成及操作。 椭圆曲线(ECC)算法是一种公钥算法,它比流行的RSA算法有很多优点: 安全性能更高 , 如160位ECC
OpenSSLHttpsServer代理
12-23
关于Https的中间人代理服务器,有合理的注释,详细的流程,清晰的代码
CentOS 下nginx模块安装openssl和http_proxy_connect
Java进阶之路
03-04 1025
1 下载模块 ngx_http_proxy_connect_module https://github.com/chobits/ngx_http_proxy_connect_module openssl http://www.openssl.org/source/ 友情提示:这些文件可以直接去官网下载,也可以点下面链接直接打包下载。 nginx-1.14.0&zlib-1.2.11&pcre-8.42 此外,如果想安装nginx-1.17.1或者需要数据库代理配置文件,可以下载下面资源。 n
nginx:对上下游使用SSL连接
error311的博客
06-27 3429
对下游使用证书 1.ssl_certificate 指令 语法:ssl_certificate file; 默认:空 放置位置:http,server 2.ssl_certificate_key 指令 语法:ssl_certificate_key file; 默认:空 放置位置:http,server 验证下游证书 1.ssl_verify_client 指令 语法:ssl_verify_client on | off | ...
windows10安装openssl
10-23
使用 OpenSSL 生成 Privkey.pem 和 Server.pem,命令如下: ``` openssl genrsa -out privkey.pem 2048 openssl req -new -key privkey.pem -out server.csr openssl x509 -req -days 365 -in server.csr -signkey ...
SET NODE_OPTIONS=--openssl-legacy-provider proxy错误
12-15
要在Windows上设置NODE_OPTIONS环境变量并将其传递给Node.js应用程序,可以使用以下命令: ``` set NODE_OPTIONS=--openssl-legacy-provider ``` 然后再运行你的应用程序。如果你使用的是npm脚本来启动应用程序,则...
nginx-1.25.1(ngx-http-proxy-connect-module插件)windows版本
08-31
通过这个模块,Nginx可以作为一个功能强大的代理服务器,为你的应用程序提供安全、高效的访问控制和负载均衡。在Windows环境下,虽然配置过程可能会稍微复杂,但遵循上述步骤,你应该能够成功地在Nginx 1.25.1上安装...
nginx stream proxy 模块的ssl连接源码分析
一个致力于开源代码学习、分析和交流的博客
02-07 2844
本为对 nginx的ngx_stream_proxy_module与上游服务器建立ssl连接的过程进行了详细分析。
Nginx proxy_pass到https后端
zhangnero
06-30 4582
使用SSL/TLS加密,确保NGINX或NGINX Plus与上游服务器之间的HTTP流量安全。本文解释了如何加密NGINX和上游组或代理服务器之间的HTTP流量。
apiserver启动证书认证
国产-达芬奇
01-13 486
- --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt - --tls-private-key-file...
kube-apiserver启动命令参数解释
小云的博客
03-07 4095
在apiserver启动时候会有很多参数来配置启动命令,有些时候不是很明白这些参数具体指的是什么意思。我的kube-apiserver启动命令参数:cat > /usr/lib/sy...
【 云原生 | kubernetes 】- 资源监控之Metrics server
ycloud
09-28 1140
Metrics Server 是 Kubernetes 内置自动缩放管道的可扩展、高效的容器资源指标来源。从 kubelet 公开的 Summary API 中采集指标信息, 以供 HPA 和 VPA 使用
Kubernetes 配置基本指南:关键集群设置_kubelet文件,2024年最新阿里中间件
最新发布
2401_84254057的博客
04-15 1250
pause 容器是一个最小的容器,它是第一个在 Kubernetes Pod 中启动的容器。然后,pause 容器的作用是保存同一 Pod 中所有其他容器的网络命名空间和其他共享资源。但是,如果要设置用于生产的自承载群集,则必须向组织的网络或安全团队请求这些证书。例如,下面是使用 CRI-O 容器运行时的 kubelet 配置,如 Unix 套接字和 pause 容器镜像所示。规范下,您可以看到指向 TLS 证书的所有参数以及 API 服务器工作和与其他集群组件通信所需的其他参数。
nginx 根证书 服务器证书,Nginx双向证书校验(服务器验证客户端证书)
weixin_35730840的博客
07-30 4000
1、创建Root CA私钥openssl genrsa -out root-ca.key 10242、创建Root CA证书请求openssl req -new -out root-ca.csr -key root-ca.key3、签发Root CA根证书openssl x509 -req -in root-ca.csr -out root-ca.crt -signkey root-ca.key ...
【博客535】k8s证书原理:各类证书作用
qq_43684922的博客
11-13 3029
我们其实可以使用多个不同的 CA 来颁发这些证书。只要在通信的组件中正确配置用于验证对方证书的 CA 根证书,就可以使用不同的 CA 来颁发不同用途的证书。但我们一般建议采用统一的 CA 来颁发 kubernetes 集群中的所有证书,这是因为采用一个集群根 CA 的方式比采用多个 CA 的方式更容易管理,可以避免多个CA 导致的复杂的证书配置、更新等问题,减少由于证书配置错误导致的集群故障。
说说Kubernetes的访问控制实现方式
u012516914的专栏
06-14 332
主要内容 TLS 双向认证RBACTLS bootstrappingNode Authorization图摘自 Kubernetes Components | Kubernetes如上图,...
openssl 常用api的作用与使用
小x的博客
12-30 5090
服务端编写步骤 SSL_library_init SSL库的初始化 OpenSSL_add_all_algorithms 载入所有的SSL算法 SSL_load_error_strings() 载入所有SSL错误消息 SSL_CTX_new() 产生一个SSL CTX SSL_CTX_use_certificate_file 载入用户的数字证书 X509 *SSL_get_peer_certificate(const SSL *ssl);// 获取对方的数字证书 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值