OpenSSL自签证书并基于Express搭建Web服务进行SSL/TLS协议分析

最新推荐文章于 2024-05-21 16:28:23 发布
最新推荐文章于 2024-05-21 16:28:23 发布
阅读量641 收藏 30
点赞数 21
分类专栏: NodeJs 文章标签: 安全 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42759112/article/details/138827723
版权

OpenSSL自签证书并基于Express搭建Web服务进行SSL/TLS协议分析

起因

最近在学习安全协议,大多数实验都是基于Windows下IIS,或者Linux下nginx搭建的Web服务,搭建环境和编写配置文件比较麻烦。而且我有多个不同环境的设备,折腾起来也比较麻烦,最好是开箱即用。

所以我就用nodejs + express写了个跨平台的项目专门用于对比没有使用SSL/TLS的http与使用了的https协议。

如果你对代码不感兴趣,仅是想要分析协议,可以到文章末尾的Github仓库中去下载该项目运行即可。

搭建环境

安装nodejs,访问官网https://nodejs.org,建议下载LTS版本并安装

node --version
npm --version

运行上方命令出现版本号即可。

在终端中运行如下命令安装yarn

npm -g install yarn

yarn --version

出现版本号即为成功。

另外需要搭建OpenSSL环境,这个教程网上有很多,请自行搜索。

代码部分

接下来主要分享代码编写思路。

目录结构

创建项目目录为http_ssl,并在终端中进入

mkdir http_ssl
cd http_ssl

使用yarn初始化,按照提示填写或者一路回车即可

yarn init

创建静态资源目录、配置文件目录、源码目录

mkdir asset
mkdir config
mkdir src

安装依赖

添加express包等

yarn add express

package.json文件中修改typemodule,将语法为ES6,并编写启动命令scripts。(如果没有直接添加)

"type":"module",
"scripts":{
	"start":"node ./src/index.js"
}

完整文件大致如下

{
  "name": "http_ssl",
  "version": "1.0.0",
  "main": "index.js",
  "author": "cairbin",
  "license": "MIT",
  "dependencies": {
    "express": "^4.19.2"
  },
  "type":"module",
  "scripts":{
    "start":"node ./src/index.js"
  }
}

初始文件

我们希望http和https的端口号、主机地址之类的都能够放在配置文件里,而非代码中,这样方便我们更改,于是编写配置文件。

touch config/config.js

我们这里为了让配置文件能够像模块一样倒入,直接为js后缀,编辑该文件

// config/config.js
export default {
    server:{
        static: '../asset',		//静态资源目录,注意'../',因为index.js在src下,否则找不到这个目录
        http:{
            host: "localhost",	//主机地址
            port: 8848					//端口号
        },
        https:{
            host:'localhost',
            port:8849
        }
    }
}

创建src/index.js为程序入口,我们编写的启动命令就是运行这个文件的

touch src/index.js

然后编写一个404.html的静态文件

mkdir asset/html/
touch asset/html/404.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>404 Page</title>
</head>
<body>
    <h1>404 NOT FOUND</h1>
</body>
</html>

辅助模块

项目还需要日志功能,我们没必要搞太复杂,想要功能强大的可以引入winston包,我这里就简单封装下js自带的console.*

mkdir src/utils/
touch src/utils/logger.js

// src/utils/logger.js
const log = (options)=>{
    console[options.type](`[${options.type.toUpperCase()}] ${options.msg}`)
}

const info = (msg)=>{
    log({
        type:"info",
        msg:msg
    });
}

const warn = (msg)=>{
    log({
        type:'warn',
        msg:msg
    });
}

const error = (msg)=>{
    log({
        type:'error',
        msg:msg
    });
}

export default{
    info,warn,error
}

控制器

尽管是个Demo,但最好还是遵循MVC,我们创建目录和文件,编写一个简单控制器

mkdir src/controller/
touch src/controller/defaultController.js

// src/controller/defaultController.js
import logger from './../utils/logger.js';	//日志模块

const defaultFunc = (req, res, next)=>{
  	logger.info('exec defultController.defaultFunc');
    res.status(500).send('Hello World!');	//为了抓包分析方便,返回500状态码而非200
}

export default{
    defaultFunc
}

这里注意,为了抓包方便观察,我们返回的Code为500,而不是200。

路由

创建Express的路由

mkdir src/route/
touch src/route/defaultRoute.js

// src/route/defaultRoute.js
import express from "express";
import defaultController from './../controller/defaultController.js';
import logger from './../utils/logger.js';	//日志模块

const router = express.Router();

router.get('/',(req,res,next)=>{
		logger.info('defaultRoute, path=/');
    defaultController.defaultFunc(req, res, next);
})

export default router;

创建服务

创建http和https服务,指定静态资源目录,设置404页面,并集成使用以上编写的文件

// src/index.js
import express from 'express';
import https from 'https';
import http from 'http';
import defaultRoute from './route/defaultRoute.js'
import fs, { copyFile } from 'fs';
import path from 'path';
import { dirname } from "node:path";
import { fileURLToPath } from "node:url"
import config from './../config/config.js';
import logger from './utils/logger.js';

const __filename = fileURLToPath(import.meta.url)
const __dirname = dirname(__filename)

const app = express();
const httpsServer = https.createServer({
    key:fs.readFileSync('keys/private.pem'),
    cert:fs.readFileSync('keys/file.crt')
},app)
const httpServer = http.createServer({},app);

//static path
app.use(express.static(
    path.join(__dirname, config.server.static)));
logger.info(`static file path '${path.join(__dirname, config.server.static)}'`);

app.use('/',defaultRoute);
// 404 page
app.use('*',(req,res)=>{
    res.redirect('./html/404.html')
})


httpsServer.listen(config.server.https.port, config.server.https.host, ()=>{
    logger.info(`https service is running on https://${config.server.https.host}:${config.server.https.port}`);
})

httpServer.listen(config.server.http.port, config.server.http.host, ()=>{
    logger.info(`http service is running on http://${config.server.http.host}:${config.server.http.port}`);
})

你会发现keys这个用于存放证书的目录以及证书文件并不存在,我们接下来创建它们项目才能运行。

另外需注意,上面的静态资源目录用path.join()来设为绝对路径。

生成证书

我们使用OpenSSL自签一个证书,在macOS或者Linux下可编写脚本

touch generate.sh

# generate.sh
mkdir -p keys
openssl genrsa 4096 > keys/private.pem
openssl req -new -key keys/private.pem -out keys/csr.pem
openssl x509 -req -days 365 -in keys/csr.pem -signkey keys/private.pem -out keys/file.crt

然后运行脚本

sh generate.sh

如果是Windows的话也可以编写.bat批处理文件,或者直接执行命令:

mkdir keys
openssl genrsa 4096 > keys/private.pem
openssl req -new -key keys/private.pem -out keys/csr.pem
openssl x509 -req -days 365 -in keys/csr.pem -signkey keys/private.pem -out keys/file.crt

注意旧版本的CMD或PowerShell可能不支持/,可以改用\,可能需要转义字符\\

运行项目

执行我们编写好的指令(package.json那里的)运行项目:

yarn run start

正常情况下,控制台应该是在报[INFO]

浏览器地址栏输入http://localhost:8848,即可看到Hello World!页面(最指定协议头,有些浏览器会自动填充为https)

https的话请访问https://localhost:8849,正常来讲现代的浏览器会阻止你访问这个页面,并提示非私人连接不安全,因为我们用的是自签名的证书。

直接无视风险,继续访问(doge)

抓包分析

关闭页面,在浏览器的设置里,清除浏览器缓存(这一步很重要,因为我们之前访问过页面了,浏览器为了加速一般都会有缓存导致下次访问时不是向服务器请求,而是加载本地缓存的页面,导致抓包失败)

启动wireshark并进行抓包,与其他情况不同,由于是回环地址,所以我们要抓loopback的包

先来访问http未加密的页面,在wireshark中使用过滤器过滤http的包,该项目为了排除抓包的时候的干扰,访问页面返回的状态码为500,而不是200,所以我们只需要找到http status 为500的包即可

查看数据,果然是明文

再以https协议的方式访问一次并进行抓包

发现抓不到了,我们将过滤器条件改为tls

由此看到数据都被保护起来了,即使抓到也都是密文。

Wireshark是直接看到TLS封包的内容的,我们可以配置环境变量,让浏览器得到的preMasterKey放到指定log中,wireshark支持读取这个文件,然后再进行抓包就可以查看加密的数据了。

文章可以参考 https://segmentfault.com/a/1190000018746027

代码仓库

Click CairBin/SecurityProtocolLab

CairBin
关注
  • 21
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理
ustccw
08-04 11万+
本文部分参考: https://www.wosign.com/faq/faq2016-0309-03.htm https://www.wosign.com/faq/faq2016-0309-04.htm http://blog.csdn.net/hherima/article/details/52469674 一: SSL/TLS介绍 什么是SSL,什么是TLS呢?官话说SSL是安全套...
SSL/TLS 双向认证(二) -- 基于mosquittto的MQTT双向认证
乐呵乐呵
11-02 766
本文介绍了MQTT的环境搭建,以及Ubuntu上基于SSL的MQTT双向认证
Java SSL/TLS认证逻辑
fenglllle的博客
10-21 1618
实际上证的认证就是链式认证,加入根证链,因为根证是信任的,CA机构是认可的,那么CA颁发的根证是信任的,经常报道的Chrome移除xxx机构颁发的根证,表示这些证链下的证不信任了,毕竟公钥和私钥任何证都能生成,证链也可以仿造。
OpenSSL自签发证并实现浏览器的安全访问
Innocence_0的博客
03-02 933
前言 实现内网通过IP地址访问某系统,需要使用 https,而且不能有不安全的提示,如下图:不允许这样的情况存在,这就需要使用openssl进行自签解决。!
Openssl 建立双向认证的 SSL/TLS 通信
嵌入式攻城狮
11-01 1733
利用 Openssl 在两台 uBuntu 之间建立双向认证的 TLS/SSL 通信
SSL/TLS验证_01_基础知识
毛毛的专栏
05-10 3260
一、SSL/TLS介绍 什么是SSL,什么是TLS呢?官话说SSL是安全套接层(secure sockets layer),TLSSSL的继任者,叫传输层安全(transport layer security)。说白点,就是在明文的上层和TCP层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP协议是明文传输,加上SSL层之后,就有了雅称HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。它的发展依次经历了下面几个时期,像手机软件升级一样,每次更新都添加或去除功能,比如引进新的加密算法,修
基于mosquitto的MQTT服务器---SSL/TLS 单向认证+双向认证
热门推荐
ty1121466568的博客
07-19 1万+
本文为参考网上其他博文搭建服务器后的步骤记录,如有冒犯,请私信!!! 目录... 3 第 1 章 安装Mosquitto. 4 1.1 方法一:手动编译安装... 4 1.2方法二:在Ubuntu下使用apt-get安装... 5 第 2 章 配置单/双向认证... 7 2.1 生成证... 7 2.2 CA校验证测试... 9 2.3 配置单/双向认证... 10 2...
SSL/TLS 双向认证(一) -- SSL/TLS工作原理
edmond999的专栏
05-02 1079
本文部分参考: https://www.wosign.com/faq/faq2016-0309-03.htm https://www.wosign.com/faq/faq2016-0309-04.htm http://blog.csdn.net/hherima/article/details/52469674 一: SSL/TLS介绍什么是SSL,什么是TLS呢?官...
如何在Node.js中使用SSL / TLS
NewTyun的博客
08-05 1638
在2020年,您的网站没有理由不使用HTTPS。访客期望它,Google将其用作排名因素,浏览器制造商很乐意于点名那些没有使用它的网站。在本教程中,我将引导您通过一个实际示例,说明如何将...
c语言 tls单向认证 验证证,mosquitto ---SSL/TLS 单向认证+双向认证
weixin_28974337的博客
05-24 751
生成证# * Redistributions in binary form must reproduce the above copyright# notice, this list of conditions and the following disclaimer in the# documentation and/or other materials provided with t...
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
基于openssl 自行签发https 协议 openssl+nginx实现https自签有效加密实战记录
03-30
基于openssl 自行签发https 协议 openssl+nginx实现https自签有效加密实战记录
linux系统openssl 实现ssl签证
12-02
通过shell脚本生成CA根证,并且通过CA根证自签服务器、客户端等证; 自签后可以实现局域网内https证信任。该证可以实现V3(SAN)证扩展名,解决谷歌浏览(Google Chrome)提示没有主题备用名称的问题。
OpenSSL生成的ssl
01-11
通过OpenSSL生成的ssl,用于windows下用nginx配置https服务器( OpenSSL创建证) 无需再下载OpenSSL,配置OpenSSL相关环境,在进行命令生成证
JAVA实现的SSL/TLS双向认证源代码
02-02
压缩包里有客户端源码和服务器端源码,支持TCP的双向认证,也支持WEBSOCKET的双向认证,内附测试 wss的测试例子, 需要生成PKCS12的证,导入浏览器才可以测试。
保障餐饮场所安全:可燃气体报警器专业检测的必要性
BDjiance的博客
05-21 343
可燃气体报警器是一种用于监测空气中可燃气体浓度的设备,一旦检测到可燃气体浓度超过设定的安全范围,就会发出警报,提醒人们及时采取措施,避免火灾事故的发生。在日常经营中,餐饮场所也应当加强对可燃气体报警器的日常维护和保养,定期清洁和检查,确保其在平时的使用中处于良好的状态。其次,定期检测也可以校准报警器的灵敏度,确保其能够及时、准确地检测到可燃气体的泄漏情况,提供更可靠的安全保障。综上所述,餐饮场所应当认真对待可燃气体报警器的专业检测周期,选择正规的专业机构进行检测和校准,保障其安全可靠。
[图解]SysML和EA建模住宅安全系统-07 to be块定义图
最新发布
rolt的专栏
05-21 1070
然后再针对这个画一个块内部图,然后这里再把签名拖上去
如何选择一款安全高效的数据自动同步工具?
文件数据安全交换
05-21 440
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。由于大部分的数据都是需要实时的同步到其他节点进行使用和分析的,原有的数据传输方式没有任何的消息通知,也没有日志记录可查询,需要靠人工去各个节点确认,费时费力,效率低下;提供完善的数据同步日志和用户操作日志,便于查询和审计,快速排查错误或遗漏。
配置 Web 服务器:您需要更新 Web 服务器配置以使用 SSL/TLS 协议。这包括将端口从 80 更改为 443,并配置 SSL/TLS 加密选项。 django服务从http切换到https
05-25
要将 Django 服务从 HTTP 切换到 HTTPS,您需要执行以下步骤: 1. 获取 SSL/TLS 您需要从 SSL/TLS颁发机构(CA)获取 SSL/TLS。如果您使用的是自签名证,则可以使用 OpenSSL 自己生成证。 2. 安装 SSL/TLSSSL/TLS安装到 Web 服务器上。这通常需要在服务器上运行的命令行界面中执行,并且在不同的 Web 服务器之间可能会有所不同。 3. 配置 Django 服务以使用 HTTPS 在 Django 项目的 settings.py 文件中,将以下代码添加到顶部: ``` SECURE_SSL_REDIRECT = True SESSION_COOKIE_SECURE = True CSRF_COOKIE_SECURE = True ``` 这将强制 Django 应用程序将所有 HTTP 请求重定向到 HTTPS。还将确保 Django 应用程序只使用安全的会话和 CSRF cookie。 4. 更新 Web 服务器配置 将 Web 服务器的配置文件更新为使用 SSL/TLS 加密选项。这包括将端口从 80 更改为 443,并指定 SSL/TLS的位置。 例如,如果您正在使用 Apache 作为 Web 服务器,则可以打开 Apache 配置文件,找到以下行: ``` Listen 80 ``` 将其更改为以下行: ``` Listen 443 https ``` 接下来,找到以下行: ``` <VirtualHost *:80> ``` 并将其更改为以下行: ``` <VirtualHost *:443> ``` 最后,在 VirtualHost 部分中添加以下行: ``` SSLEngine on SSLCertificateFile /path/to/your/certificate.pem SSLCertificateKeyFile /path/to/your/certificate.key ``` 这将启用 SSL/TLS 加密并指定 SSL/TLS的位置。 5. 重启 Web 服务器 完成配置更改后,您需要重启 Web 服务器以使更改生效。在 Apache 中,可以运行以下命令来重启服务器: ``` sudo service apache2 restart ``` 现在,您的 Django 服务应该已成功切换到 HTTPS。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值