openssl + engine + pkcs11 双向认证测试

最新推荐文章于 2024-09-10 09:00:00 发布
最新推荐文章于 2024-09-10 09:00:00 发布
阅读量2.5k 收藏 7
点赞数 1
分类专栏: 个人记录 文章标签: openssl ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43350875/article/details/116601117
版权

0 环境

openssl 1.1.1b https://www.cnblogs.com/jsjliyang/p/10606908.html

pkcs11-tool (由sudo apt-get install opensc 安装)

libpksc11 https://github.com/OpenSC/libp11

softhsm2 https://github.com/opendnssec/SoftHSMv2

 

1 证书生成

1.1 CA 自签署证书:

// 生成根证书私钥(pem文件)
openssl genrsa -out root.key 2048
// 生成根证书签发申请文件(csr文件)
openssl req -new -key root.key -out root.csr -subj "/CN=localhost/C=CN/ST=rootprovince/L=rootcity/O=rootorganization/OU=rootgroup"
// 自签发根证书(cer文件)
openssl x509 -req -days 365 -extensions v3_ca -signkey root.key -in root.csr -out root.crt

1.2 CA签发Server 证书:

// 生成服务端私钥   
openssl genrsa -out server.key 2048
// 生成证书请求文件 
openssl req -new -key server.key -out server.csr -subj "/CN=localhost/C=CN/ST=serverprovince/L=servercity/O=serverorganization/OU=servergroup"
// 使用根证书签发服务端证书
openssl x509 -req -days 365 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in server.csr -out server.crt
// 使用CA证书验证服务端证书
openssl verify -CAfile root.crt server.crt

1.3 CA签发Client证书,Client证书保存于pkcs11中:

//须先执行softhsm的步骤
//生成client密钥对 //module 为pkcs11格式的硬件驱动 id、label和pin要记住
pkcs11-tool --module /usr/local/lib/softhsm/libsofthsm2.so -l -k --key-type rsa:2048 --id 4144 --label testn --pin 56789
// 生成请求文件
openssl req -new -days 365  -subj "/CN=localhost/C=CN/ST=clientprovince/L=clientcity/O=clientorganization/OU=clientgroup" -engine pkcs11 -keyform engine -key "pkcs11:token=test;object=testn;type=private;pin-value=56789" -out client.csr
// 使用根证书签发客户端证书
openssl x509 -req -days 365 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in client.csr -out client.crt
// 使用CA证书验证客户端证书
openssl verify -CAfile root.crt client.crt
//将cert写入softhsm中
pkcs11-tool --module /usr/local/lib/softhsm/libsofthsm2.so -l --id 4144 --label testn -y cert -w client.crt --pin 56789

2 openssl双向认证

//服务器开启认证
openssl s_server -accept 8090 -key server.key -cert server.crt -CAfile root.crt -Verify 1
//客户端开启认证 此处的token为softhsm进行init时输入的label,而object为创建客户端密钥对时的label
openssl s_client -connect localhost:8090 -engine pkcs11 -keyform engine     -key "pkcs11:token=test;object=testn;type=private;pin-value=56789" -cert client.crt -CAfile root.crt
//接下来双方就可以传数据了

3 softhsm2相关

可以通过配置文件配置so加载:(未测试)

openssl_conf = openssl_init //放在conf文件的顶行

/**
*
*
**/

//以下放在底部
[openssl_init]
engines=engine_section

[engine_section]
pkcs11 = pkcs11_section

[pkcs11_section]
engine_id = pkcs11
dynamic_path = /usr/local/lib/engines-1.1/libpkcs11.so
MODULE_PATH = /usr/local/lib/softhsm/libsofthsm2.so
init = 0

或者命令行:

//加载softhsm
OpenSSL> engine -t dynamic -pre SO_PATH:/usr/local/lib/engines-1.1/libpkcs11.so
         -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD 
         -pre MODULE_PATH:/usr/local/lib/softhsm/libsofthsm2.so
//检测是否运行
openssl engine pkcs11 -t
//初始化softhsm
softhsm2-util --init-token --slot 0 --label "test"
//根据提示输入pin和user pin
=== SO PIN (4-255 characters) ===
Please enter SO PIN: ****
Please reenter SO PIN: ****
=== User PIN (4-255 characters) ===
Please enter user PIN: *****
Please reenter user PIN: *****
The token has been initialized and is reassigned to slot 394926501

 

Netty使用SSL实现双向通信加密
我是香菜
01-03 1639
最近项目有个需求,TCP服务器实现基于证书通信加密,之前没做过,花了一些时间调研,今天整理下。
USBKey使用openssl链接
wuyantt的专栏
09-05 5164
Openssl对USBKey的研究 1.    USBKey USBKey是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。 2.    Openssl OpenSSL 是一个强大的安全套接字层
Openssl Engine pkcs11 示例程序
02-17
OpenSSL的0.9.7版,Engine机制集成到了OpenSSL的内核中,成为了OpenSSL不可缺少的一部分。 Engine机制目的是为了使OpenSSL能够透明地使用第三方提供的软件加密库或者硬件加密设备进行加密。OpenSSLEngine机制成功地达到了这个目的,这使得OpenSSL已经不仅仅使一个加密库,而是提供了一个通用地加密接口,能够与绝大部分加密库或者加密设备协调工作。当然,要使特定加密库或加密设备更OpenSSL协调工作,需要写少量的接口代码,但是这样的工作量并不大,虽然还是需要一点密码学的知识。Engine机制的功能跟Windows提供的CSP功能目标是基本相同的。支持PKCS#11接口的Engine接口
openssl_engine_pkcs11_src
11-15
openssl 引擎的实例,使用pkcs11做了一个引擎,包含测试代码
OpensslPKCS#11的故事
求索
11-24 6147
OpensslPKCS#11的故事
Engine pkcs11 quickstart
求索
01-10 2150
Quick Start Please first install the PKCS#11 Module you want to use such as OpenSC, and install libp11 (runtime and development). Installing engine_pkcs11 is quite simple: wget http://www.opens
PKCS#11OpenSSL RSA加解密代码示例
wangminshe89
12-16 253
BOOL _ReadFile(LPCSTR FilePath, BYTE *FileContent, DWORD *FileLength) { FILE *stream = NULL; DWORD ContentLen = 0; DWORD ReadLen = 0; if ((FilePath == NULL) || (FileLength ...
lighttpd双向认证-openssl证书生成及配置
ins李老师的博客
04-14 961
openssl生成双向证书供Lighttpd、nginx进行使用。该文章只展示的Lighttpd的使用方法,nginx也可以使用
基于Lighttpd双向认证https(ARM+Linux+PHP)
yangchao4121的博客
12-14 1504
基于Lighttpd双向认证https(ARM+Linux+PHP)概述证书生成CA证书服务端证书客户端证书Lighttpd配置域名访问 概述 实现一个自签名的CA证书搭建一个在ARM+Linux环境下基于Lighttpd和PHP的web环境,在此整理了一个完整的过程,算作总结。参考了其他网友的资料,也希望能为有需要的人提供一些帮助 证书生成 证书包括自签名CA证书、服务器证书、客户端证书。如果只...
一文掌握Harbor的双向认证实践
最新发布
StevenZeng学堂
09-10 2312
> 本文摘要:本文详细介绍了Harbor的双向认证配置及实践。首先,文章解释了单向认证双向认证的概念及其应用场景,对比了二者的认证流程。接着,通过具体步骤展示了如何在Harbor中配置双向认证,包括证书生成、配置Harbor及Nginx,并提供了详细的验证测试方法,涵盖命令行、浏览器、Docker及Containerd等多种场景。通过本文,帮助读者进一步深入了解和掌握Harbor双向认证的配置与验证过程。
PKCS11标准(中文版)
03-03
这是PKCS #11 v2.11密码令牌接口标准,详细描述了PKCS11的各种技术概念和开发标准,主要提供给开发人员,用于系统的设计、开发。
openssl-pkcs11-0.4.10-2.el8.aarch64.rpm
12-07
离线安装包,亲测可用
pkcs11-tools-go:Go编写的一些pkcs11工具
05-24
pkcs11-tools-go pkcs11keypair 一种在PKCS11加密令牌内部生成密钥对的工具。 配置 可以通过设置环境变量来配置pkcs11keypair ,但是在未设置变量的情况下,可以应用其自身的默认值。 HSM_MODULE :要使用的HSM模块库的路径(默认为/usr/lib/softhsm/libsofthsm.so ) HSM_SLOT_ID :要使用的插槽ID(默认为0 ) USER_PIN :用于登录令牌的用户PIN(默认为0000 ) KEY_LABEL :用于密钥的标签(默认pkcs11keypair_label ) KEY_ID :用于键的ID(默认为随机值) RSA_SIZE :密钥生成中模数的位大小(默认为2048 ,最小值为1024 ) 用法 SoftHSM的用法示例(需要libsofthsm和pkcs11-tool): 准备So
用于 TPM2硬件的 PKCS#11 接口_C语言_代码_下载
07-04
PKCS #11 是一种公钥加密标准,它定义了一种从令牌/设备(如硬件安全模块 (HSM)、智能卡等)访问加密服务的标准方法。在这个项目中,我们打算使用 TPM2 设备作为加密令牌。 入门: 建造- 如何建造 初始化- 如何配置它 安装- 如何安装 示例用法 SSH - 如何通过 SSH 配置和使用它。 P11 - 如何配置和使用它与各种 P11 组件。 PKCS11-TOOL - 如何使用 OpenSC 的 pkcs11-tool 配置和使用它。 EAP-TLS - 如何使用 EAP-TLS 配置和使用它进行 Wi-Fi 身份验证。 互操作性- 与tss2-engine和 tpm2-tools项目互操作性的配置详细信息 。请注意,tpm2-tools互操作性可能涵盖使用原始编组TPM 2.0 结构的其他项目。 更多详情、使用方法,请下载后阅读README.md文件
PKCS11密码令牌接口标准中文版
12-20
PKCS11密码令牌接口标准中文版 PKCS #11 中文版 标准 PKCS #11 中文版 标准
TLS + OpenSSL + Engine + PKCS#11 + softhsm2 安全通信
BGK112358的专栏
06-24 832
引擎库路径只有在 /lib 下才能被 "LOAD" 识别到,OpenSSL的ReadMe给的示例在/lib,看源码才能知道为何不能任意指定路径。
[OpenSC-devel] openssl PKCS11 engine + eTpkcs11.dll on windows ?
子曰小玖的博客
04-13 922
[OpenSC-devel] openssl PKCS11 engine + eTpkcs11.dll on windows ? opensc_alias at swing.beopensc_alias at swing.beThu Oct 21 15:03:30 UTC 2004 Previous message:[OpenSC-devel] A trivial patch aga...
openssl + pkcs11代码
06-10
以下是使用 OpenSSLPKCS#11 进行加解密的示例代码: ```c #include <stdio.h> #include <stdlib.h> #include <string.h> #include <openssl/evp.h> #include <openssl/err.h> #include <openssl/pkcs12.h> #include <openssl/engine.h> #include <openssl/pkcs11.h> #define BUFSIZE 1024 int main(int argc, char *argv[]) { int rv, i; char *infile, *outfile, *password; FILE *in, *out; EVP_CIPHER_CTX *ctx = NULL; PKCS12 *p12 = NULL; X509 *cert = NULL; EVP_PKEY *pkey = NULL; PKCS11_CTX *p11ctx = NULL; CK_OBJECT_HANDLE hkey; CK_SESSION_HANDLE hsession; if (argc != 4) { printf("Usage: %s <infile> <outfile> <password>\n", argv[0]); return 1; } infile = argv[1]; outfile = argv[2]; password = argv[3]; /* Initialize OpenSSL and PKCS#11 */ ERR_load_crypto_strings(); ENGINE_load_builtin_engines(); ENGINE_register_all_complete(); rv = PKCS11_CTX_init(&p11ctx, "pkcs11", NULL, NULL, 0); if (rv != CKR_OK) { printf("Error initializing PKCS#11 context\n"); goto cleanup; } /* Load PKCS#12 file */ in = fopen(infile, "rb"); if (in == NULL) { printf("Error opening input file: %s\n", infile); goto cleanup; } p12 = d2i_PKCS12_fp(in, NULL); if (p12 == NULL) { printf("Error reading PKCS#12 file: %s\n", infile); goto cleanup; } fclose(in); /* Extract certificate and private key from PKCS#12 file */ rv = PKCS12_parse(p12, password, &pkey, &cert, NULL); if (rv == 0) { printf("Error parsing PKCS#12 file: %s\n", infile); goto cleanup; } /* Find corresponding private key in PKCS#11 token */ rv = PKCS11_CTX_login(p11ctx, CKU_USER, password); if (rv != CKR_OK) { printf("Error logging in to PKCS#11 token\n"); goto cleanup; } hsession = PKCS11_CTX_get_session(p11ctx); rv = PKCS11_find_key(p11ctx, &hkey, cert, pkey); if (rv != CKR_OK) { printf("Error finding private key in PKCS#11 token\n"); goto cleanup; } /* Initialize context for decryption */ ctx = EVP_CIPHER_CTX_new(); if (ctx == NULL) { printf("Error creating cipher context\n"); goto cleanup; } rv = EVP_OpenInit(ctx, EVP_aes_256_cbc(), NULL, 0, NULL, pkey); if (rv != 1) { printf("Error initializing cipher context\n"); goto cleanup; } /* Decrypt input file and write output file */ in = fopen(infile, "rb"); if (in == NULL) { printf("Error opening input file: %s\n", infile); goto cleanup; } out = fopen(outfile, "wb"); if (out == NULL) { printf("Error opening output file: %s\n", outfile); goto cleanup; } while (1) { unsigned char inbuf[BUFSIZE], outbuf[BUFSIZE]; int inlen, outlen; inlen = fread(inbuf, 1, BUFSIZE, in); if (inlen == 0) { break; } rv = EVP_OpenUpdate(ctx, outbuf, &outlen, inbuf, inlen); if (rv != 1) { printf("Error decrypting input file\n"); goto cleanup; } fwrite(outbuf, 1, outlen, out); } rv = EVP_OpenFinal(ctx, NULL, 0); if (rv != 1) { printf("Error finalizing cipher context\n"); goto cleanup; } fclose(in); fclose(out); printf("Decryption successful\n"); cleanup: if (ctx != NULL) { EVP_CIPHER_CTX_free(ctx); } if (p12 != NULL) { PKCS12_free(p12); } if (cert != NULL) { X509_free(cert); } if (pkey != NULL) { EVP_PKEY_free(pkey); } if (p11ctx != NULL) { PKCS11_CTX_logout(p11ctx); PKCS11_CTX_uninit(p11ctx); } ENGINE_cleanup(); ERR_free_strings(); return 0; } ``` 这是一个简单的解密示例,它可以从 PKCS#12 文件中提取证书和私钥,并使用 PKCS#11 模块从智能卡中获取私钥,然后使用 OpenSSL 中的 EVP 函数进行解密操作。你可以根据自己的需求进行修改和扩展。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值