编译使用win64版 TASSL1.1.1k

已于 2022-11-10 11:28:50 修改
阅读量1.4k 收藏 7
点赞数 1
文章标签: 开源协议 密码学 windows ssl
于 2022-11-08 20:19:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43229894/article/details/127757668
版权

编译使用win64版 TASSL1.1.1k

下载链接:TASSL-1.1.1k,然后解压。

在这里插入图片描述

OpenSSL是一套件开放源代码的安全套接字密码学基础库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL/TLS协议,并提供丰富的API,以供应用程序开发、测试或其它目的使用。它广泛地集成在各种类型的操作系统中,作为其基础组件之一,深爱广大IT爱好者的喜爱。即使用某些操作系统没有将其集成为组件,通过源代码下载,也是十分轻松地构建OpenSSL的开发及应用环境。

尽管OpenSSL的功能十分强大且丰富,然而对于中国商用密码体系的算法及相关应用来说,它距离我们还是十分遥远,因为它仅仅包含的国际通用的密码算法、认证体系及相关协议,却没有将中国商用密码体系中的公开算法SM2、SM3、SM4及祖冲之流密码算法纳入其中,也不支持双证书体系的应用及相关协议。这对于推广及研究中国商用密码体系的广大密码爱好者来说,却是十分无奈的事情。 国内也存在着不少密码界同仁,尝试着将OpenSSL国密化,但其大多都局限于公司内部交流使用,这对于国密SSL的推广不利。针对这种现状,北京江南天安公司经过长时间的研究分析,于2017年上半年推出天安版国密OpenSSL,也就是TASSL,解决了中国商用密码体系无法构建基于OpenSSL应用的实际问题。现以源码的形式提供出来,供大家参考使用,为促进国密的推广和应用贡献自己的一份力量。

解决方案:使用win下的MSYS2 MINGW64

1. 编译`TASSL1.1.1k源码

  1. 下载MSYS2

  2. 打开MSYS MINGW64

在这里插入图片描述

  1. 进入到TASSL目录下,执行指令 no-shared生成静态库,shared生成动态库 ,不指定同时生成动态库和静态库

    ./config --prefix=/usr/local/out [no-shared或者shared]

    注意:prefix一定要填写绝对路径
    在这里插入图片描述

  2. 找到生成的Makefile文件,先执行make clean,再运行make命令
    在这里插入图片描述

  3. 如果发现make命令不存在,执行语句pacman -S make安装make-4.3-3-x86_64
    在这里插入图片描述

  4. 如果发现gcc不存在,安装Mingw-w64 GCC编译工具链,按照默认安装,直接回车,如果报错,多执行几次

    pacman -S --needed base-devel mingw-w64-x86_64-toolchain

在这里插入图片描述

  1. 安装好gcc后,执行gcc -v可以查看安装的版本

在这里插入图片描述

  1. 此时,继续执行make,等待make完毕,大概持续两分钟

在这里插入图片描述

  1. 执行make install指令,注意,这一步需要在MSYS2系统目录创建一些文件夹,如果你的MSYS2安装在系统盘,需要重新使用管理员打开MSYS2 MINGW64 ,等待两分钟安装完毕,会安装到第三步指定的/usr/local/out内,得到五个文件夹

在这里插入图片描述

  1. 查看bin目录下正确生成了openssl.exe可执行文件

在这里插入图片描述

  1. 路径对应关系:MSYS2的安装路径是MSYS2 MINGW64虚拟linux的根目录。通过MSYS2找到TASSL的安装目录,注意这里MYSYS2的安装目录是C:\msys64,则/usr/local/out对应到win10的绝对路径为:C:\msys64\usr\local\out

在这里插入图片描述

  1. 查看安装完成的win10下文件夹,

在这里插入图片描述

- bin 文件夹下包含了openssl可执行文件,如果生成了动态库会包含libcrypto-1_1-x64.dlllibssl-1_1-x64.dll。如果仅仅生成了静态库,则只有openssl.exe
在这里插入图片描述

  • include 文件夹包含了生成的头文件
    在这里插入图片描述

  • lib文件夹包含了生成的动态库/静态库。如果生成静态库会生成[libssl.a、libcrypto.a],如果生成动态库会生成[libssl.dll.a、libcrypto.dll.a],这里需要注意的是,不要被后缀迷惑了,libssl.a等价于libssl.lib
    在这里插入图片描述

  • 简单说一下动态库和静态库的区别。

    • 如果使用静态库,只需要用到include文件夹,以及[libssl.a、libcrypto.a],使用的时候,包含目录添加include文件夹路径,附加库目录为[libssl.a、libcrypto.a]的目录,然后附加依赖项添加[libssl.a、libcrypto.a]这里两个名字。在生成可执行文件后,就会链接静态库,可以直接使用。
    • 如果使用动态库,需要用到include文件夹,以及[libssl.dll.a、libcrypto.dll.a、libcrypto-1_1-x64.dlllibssl-1_1-x64.dll],使用的时候,包含目录添加include文件夹路径,附加库目录为[libssl.a、libcrypto.a]的目录,然后附加依赖项添加[libssl.dll.a、libcrypto.dll.a]这里两个名字。在生成可执行文件后,必须要在运行目录下添加[libcrypto-1_1-x64.dlllibssl-1_1-x64.dll]这两个动态库才能正常使用。

2.使用OPENSSL生成CA证书

使用管理员打开命令提示符,进入bin目录,运行openssl生成CA证书。

在这里插入图片描述

  • Step1:制作ca.key 私钥(SM2算法加密)

    openssl ecparam -genkey -name SM2 -out ./myCert/ca/ca.key
    • -genkey——生成密钥
    • -name——指定生成密钥算法名称
    • -out——输出文件的路径

  • Step2:制作生成CA证书请求

    openssl req -new -key ./myCert/ca/ca.key -out ./myCert/ca/ca.csr -subj "/C=CN/ST=Hubei/L=Wuhan/O=HUST NCC/OU=NCLINK/CN=nclink.com/"
    • req——执行证书签发命令
    • -new——新证书签发请求
    • -key——指定私钥路径
    • -out——输出的csr文件的路径
    • -subj——证书相关的用户信息(subject的缩写)
    • 检查证书请求命令openssl req -text -in ./myCert/ca.csr -noout

  • Step3:自签名得到根证书,注意这里也可以生成ca.crt文件。

    openssl x509 -req -days 3650 -sm3 -extfile C:/msys64/usr/ssl/openssl.cnf -extensions v3_ca -signkey ./myCert/ca/ca.key -in ./myCert/ca/ca.csr -out ./myCert/ca/ca.crt
Signature ok
subject=C = CN, ST = Hubei, L = Wuhan, O = HUST NCC, OU = NCLINK, CN = nclink.com
Getting Private key

3.使用OPENSSL生成服务器证书

在上一步生成的CA根证书的基础上,为服务器nclink.com签名并颁发证书

注意:根证书的 Common Name(CN)不要和生成的证书CN一样,证书校验会出错

./myCert目录下创建文件夹server存放服务器的证书

1. 生成服务器的签名证书

  • Step1:生成签名证书的私钥SS_nclink.com.key

    openssl ecparam -genkey -name SM2 -out ./myCert/server/SS_nclink.com.key

  • Step2:生成签名证书的证书请求文件SS_nclin.com.csr

    openssl req -new -key ./myCert/server/SS_nclink.com.key -out ./myCert/server/SS_nclink.com.csr -subj "/C=CN/ST=Hubei/L=Wuhan/O=HUST NCC/OU=NCLINK/CN=nclink.com/"

  • Step3:使用根CA证书签发nclink.com的签名证书SS_nclink.com.crt

    openssl x509 -req -days 3650 -sm3 -extfile C:/msys64/usr/ssl/openssl.cnf -extensions v3_req -CA ./myCert/ca/ca.crt -CAkey ./myCert/ca/ca.key -CAserial ./myCert/ca.srl -CAcreateserial -in ./myCert/server/SS_nclink.com.csr -out ./myCert/server/SS_nclink.com.crt

  • Step4:校验证书

    openssl verify -CAfile ./myCert/ca/ca.crt ./myCert/server/SS_nclink.com.crt

    在这里插入图片描述

  • 命令解释

    • -CA——指定CA证书的路径

    • -CAkey——指定CA证书的私钥路径

    • -CAserial——指定证书序列号文件的路径

    • -CAcreateserial——表示创建证书序列号文件(即上方提到的serial文件),创建的序列号文件默认名称为-CA,指定的证书名称后加上.srl后缀,第一次创建证书需要使用该参数创建,此后不需要该参数

      在x509指令中,有多重方式可以指定一个将要生成证书的序列号,可以使用set_serial选项来直接指定证书的序列号,也可以使用-CAserial选项来指定一个包含序列号的文件。所谓的序列号是一个包含一个十六进制正整数的文件,在默认情况下,该文件的名称为输入的证书名称加上.srl后缀,比如输入的证书文件为ca.cer,那么指令会试图从ca.srl文件中获取序列号,可以自己创建一个ca.srl文件,也可以通过-CAcreateserial选项来生成一个序列号文件。

      注意:这里指定的-extensions的值为v3_req,在OpenSSL的配置中,v3_req配置的basicConstraints的值为CA:FALSE;而前面生成根证书时,使用的-extensions值为v3_ca,v3_ca中指定的basicConstraints的值为CA:TRUE,表示该证书是颁发给CA机构的证书。可以查看文件/opt/local/ssl/openssl.cnf

      [ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature

[ v3enc_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = keyAgreement, keyEncipherment, dataEncipherment

[ v3_ca ]
# Extensions for a typical CA
# PKIX recommendation.
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = critical,CA:true

    • 在server文件夹下得到三个文件

      • SS_nclink.com.key 服务器签名证书的SM2私钥文件

      • SS_nclink.com.csr 服务器签名证书的 请求文件

      • SS_nclink.com.crt 服务器的签名证书(经过CA私钥签名认证)

2. 生成服务器的加密证书

  • Step1:生成加密证书的私钥SE_nclink.com.key

  • Step2:生成加密证书的证书请求文件SE_nclink.com.csr

  • Step3:使用根证书CA签发服务器的加密证书SE_nclink.com.crt注意这里的-extensions参数使用的是v3enc_req

    openssl ecparam -genkey -name SM2 -out ./myCert/server/SE_nclink.com.key

openssl req -new -key ./myCert/server/SE_nclink.com.key -out ./myCert/server/SE_nclink.com.csr -subj "/C=CN/ST=Hubei/L=Wuhan/O=HUST NCC/OU=NCLINK/CN=nclink.com/"

openssl x509 -req -days 3650 -sm3 -extfile ./openssl.cnf -extensions v3enc_req -CA ./myCert/ca/ca.crt -CAkey ./myCert/ca/ca.key -CAserial ./myCert/ca.srl -in ./myCert/server/SE_nclink.com.csr -out ./myCert/server/SE_nclink.com.crt

  • 在server文件夹下增加了三个文件

    • SE_nclink.com.key 服务器签名证书的SM2私钥文件
    • SE_nclink.com.csr 服务器签名证书的 请求文件
    • SE_nclink.com.crt 服务器的签名证书(经过CA私钥签名认证)
3. 使用根证书校验服务器证书

  • 验证证书出错

    在这里插入图片描述

  • 解决办法

    我们在生成ca根证书时,Common Name 最好是有效根域名(如 openssl.com ), 并且不能和后来服务器证书签署请求文件中填写的 Common Name 完全一样,否则会导致证书生成的时候出现 上图错误。

夜渡寒鸦
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
天安tassl+原生nginx搭建国密网站
qlau2007的博客
05-27 1300
基于天安tassl和原生nginx搭建国密网站测试
jntass_admin-TASSL-1.1.1b-master.zip
03-15
可以用于nginx编译支持国密算法的资料包,适配了nginx-1.16.0支持国密,nginx开源地址:https://github.com/jntass/Nginx_Tassl
江南天安环境的编译使用tassl
runshui27的博客
04-20 4947
在openssl-1.1.1d上完成ECC-SM4-SM3的套件移植,参考江南天安的代码 https://github.com/jntass/TASSL.git 和蚂蚁沟通,他们希望我们先在江南天安的openssl上先跑通一个完整的SSL握手过程,再对比CCP的性能。 目前完成基于江南天安的openssl跑通了一个完整的SSL握手过程,下一步在tassl上使能CCP功能给出性能数据。 1,下载代码...
OpenSSL的一些知识
u013244720的专栏
01-17 316
OpenSSL的一些知识 注:jre 内部实现绑定的 ca 就是 sun 公司(的秘钥和自签名 ca-crt) 注:keytool 工具也默认使用 sun 公司做为 ca,故 keytool 会直接用 sun 公司 crt 签名生成我们自己的 ca-crt,这样我们就可以把生成的 ca-crt 用于 jre 目录和 tomcat 目录中用于安全认证 注:keytool aa.keystore=aa-key.pem=aa.key aa.cer=aa.crt 链接 https://blog.csdn.ne
搭建商用密码 HTTPS服务——真正全网最完整方案
pz641的博客
08-04 2054
一、准备工作: 环境:Linux 系统本:CentOS7 64位 在安装nginx前首先要确认系统中安装了gcc、pcre-devel、zlib-devel、openssl-devel 安装命令: yum -y install gcc pcre-devel zlib-devel openssl openssl-devel 二、下载所需资源 采用开源国密算法,由江南天安发布的tassl,和改造后的Nginx。项目地址如下: https://github.com/jntass/TASSL-1.1.1b htt
Win64OpenSSL-1.1.1
11-10
Win64OpenSSL-1.1.1,适合制作证书等等,搬运分享。
Win64OpenSSL_Light-1.1.1
11-10
Win64OpenSSL_Light-1.1.1,适合制作证书等等,搬运分享。
Win64OpenSSL-Light-1-1-1t.exe win64 位 OpenSSL 1.1.1.t 安装包
02-23
win64 位系统用的!!! OpenSSL 1.1.1.t 安装包,官网下载好的。2023年最新编译的哦!
Win64OpenSSL-Light-1-1-1u.exe win64 位 OpenSSL 1.1.1.u 安装包
06-25
win64 位系统用的!!! OpenSSL 1.1.1.u 安装包,官网下载好的。2023年5月最新编译的哦!
TASSL-1.1.1b-0.8.tar.gz
08-04
linux下,目前开源本是基于OpenSSL 1.1.1b 26 Feb 2019本; 天安TaSSL-1.1.1b_v1.0
libcrypto.a
08-06
openssl 编译的静态libcrypto.a, openssl 编译的静态libcrypto.a,
编译好的libssl.lib,libcrypto.lib 包含lib,dll,头文件
04-09
编译好的libssl.lib,libcrypto.lib 包含lib,dll,头文件
Windows x64 的 Openssl 1.1.1 安装包msi
06-23
Windows x64 的 Openssl 1.1.1 安装包msi OpenSSL 是一个安全套接字层密码,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。 OpenSSL被曝出现严重安全...
证书知识简单介绍
肉面飞龙的博客
07-17 1010
证书有2种格式:PEM(base64格式)、DER(二进制)crt、cer都为证书(证书包含公钥,crt常见linux、cer常见windows) csr为证书请求文件 pfx、p12为带证书的私钥 pem为base64格式的文件 der为二进制格式的文件 http://blog.sina.com.cn/s/blog_3d5517850102w2rs.html一、生成私钥:生成des3加密
国密SM2 Https服务器搭建--全网最完整方案
热门推荐
u011893782的博客
06-09 1万+
参考资料4 详细分析了数据报文,实现方案也是采用大宝国密SDK。 参考资料 1、大宝CA doubleCAhttps://doubleca.com/test_toIndexPage.action 2、国密服务器开发https://github.com/mrpre/atls 3. TLS/SSL 协议详解 (29) 国密SSL协议(代码见参考文献2)https://blog.csdn.net/mrpre/article/details/78015580 4.国密SSL协议开发总结(附报文详细...
Windows下用OpenSSL生成CA根证书及签发server端证书
白袍小将的博客
08-14 8832
一、先下载编译好的OpenSSL程序,并展开后放在E:盘,目录结构如下所示 目前放在的目录为:E:\OpensslX64 二、打开一个CMD控制台窗口,设置好openssl.cnf路径 用以下控制台命令进入到E:\OpensslX64\bin,并设置好openssl.cnf路径。 E: cd E:\OpensslX64\bin set OPENSSL_CONF=E:\OpensslX64\conf\openssl.cnf 三、在当前目录E:\OpensslX64\bin 里创建两个...
使用mingw编译支持openssl 的 libcurl(windows下)
bhlzlx的专栏
01-29 3766
此文章已更新,参见 http://bhlzlx.blog.51cto.com/3389283/935370 使用mingw 对libcURL,openSSL,zLib交叉编译   将三个解压到同一目录下 比如取目录名为 "source" 的目录   提前安装active-perl 配置好mingw和msys环境 否则编译会出错
win64 openssl v1.1.1 下载
最新发布
07-28
8. 安装完成后,你就可以使用Win64 OpenSSL v1.1.1了。 请确保在下载和安装任何软件时使用可靠的来源,并且仔细阅读和理解安装程序提供的任何提示和指示。这样可以确保你从正确和安全的渠道下载并安装软件,同时还...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值