openssl证书制作及编程

最新推荐文章于 2024-09-01 07:31:07 发布

sealyao

最新推荐文章于 2024-09-01 07:31:07 发布

阅读量6.8k

点赞数 1

分类专栏：网络协议 linux 编程文章标签：编程 ssl server callback file socket

本文链接：https://blog.csdn.net/sealyao/article/details/5774744

版权

本文详细介绍了如何使用openssl制作证书，包括创建CA，生成服务器和客户端的私钥及CSR，签名证书，以及将证书和私钥合并为PEM格式。此外，还探讨了openssl的编程，特别是原生态的编程方式，涉及到SSL_CTX和SSL结构，以及BIO的概念和应用，如数据源、过滤器BIO、BIO链和常用BIO函数。

摘要由CSDN通过智能技术生成

一、openssl证书制作：

1、创建目录./demoCA/ ./demoCA/newcerts/，创建文件 ./demoCA/index.txt ./demoCA/serial。

2、执行echo 01 > ./demoCA/serial

3、制作自己的CA证书

$openssl req -new -x509 -keyout ca.key -out ca.crt

4、生成服务端的私钥(key文件)及csr文件

$openssl genrsa -des3 -out server.key 1024

$openssl req -new -key server.key -out server.csr

5、生成客户端的私钥(key文件)及csr文件

$openssl genrsa -des3 -out client.key 1024

$openssl req -new -key client.key -out client.csr

6、用生成的CA的证书为刚才生成的server.csr,client.csr文件签名

$openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

$openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key

7、生成pem格式证书

有时需要用到pem格式的证书，可以用以下方式合并证书文件（crt）和私钥文件（key）来生成

$cat client.crt client.key> client.pem

$cat server.crt server.key > server.pem

二、openssl编程

openssl的编程有两种风格：原生态的和层层封装的。

2.1原生态openssl编程

需要使用BSD socket和openssl中的较底层的API。原生态openssl有两个比较重要的结构SSL和SSL_CTX。

SSL_CTX数据结构是用与建立SSL/TSL连接的结构，可用于指定通讯协议（SSLv23/TSLv1）、证书、密钥等相关信息。

SSL数据结构是和具体会话相关联的结构。

常用函数：

SSL_library_init（）：初始化一个openssl库。

   SSL_CTX_new（const SSL_METHOD *method）：创建一个CTX结构。

   SSL_new（SSL_CTX *ctx）：创建一个SSL结构。

   SSL_set_fd（SSL *ssl, int fd）：把ssl结构和具体会话相关联。

   SSL_accept(SSL *ssl)、SSL_connect(SSL *ssl)：用于SSL会话握手。

   SSL_read（SSL *ssl, void *buf, int num）和SSL_write（SSL *ssl, void *buf, int num）用于SSL读写。

   SSL_shutdown（SSL *ssl）用于关闭一个SSL/TSL会话。

   使用这些函数就可以进行最基本的openssl编程了。Openssl编程框架如下。

   代码示例：HTTPS服务器和客户端

   服务器端:

#include <sys/types.h>
#include <sys/socket.h>
#include <sys/un.h>
#include <unistd.h>
#include <stdio.h>
#include <arpa/inet.h>

#include <openssl/bio.h>
#include <openssl/ssl.h>
#include <openssl/err.h>

#define SERVER_PEM "../digitCert/server.pem"
#define SERVER_KRY "../digitCert/server.key"

int password_callback(char *buf, int size, int rwflag, void *userdata)
{
    /* For the purposes of this demonstration, the password is "ibmdw" */
    printf("*** Callback function called/n");
    strcpy(buf,"123456");
    return strlen(buf);
}

int main()
{
    int serv_sock,cli_sock;
    socklen_t client_len;
    struct sockaddr_in server_address;
    struct sockaddr_in client_address;
    SSL_CTX * ctx;
    SSL *ssl;

    int (*callback)(char *, int, int, void *) = &password_callback;

    printf("Serving it up in a secure manner/n/n");
    SSL_library_init();
    SSL_load_error_strings();
    ERR_load_BIO_strings();
    ERR_load_SSL_strings();
    OpenSSL_add_all_algorithms();

    printf("Attempting to create SSL context... ");
    ctx = SSL_CTX_new(SSLv23_server_method());
    if(ctx == NULL)
    {
        printf("Failed. Aborting./n");
        return 0;
    }

    printf("/nLoading certificates.../n");
    SSL_CTX_set_default_passwd_cb(ctx, callback);
    if(!SSL_CTX_use_certificate_file(ctx, SERVER_PEM, SSL_FILETYPE_PEM))
    {
        ERR_print_errors_fp(stdout);
        SSL_CTX_free(ctx);
        return 0;
    }
    else printf("load server.csr successful!/n");
    if((SSL_CTX_use_PrivateKey_file(ctx, SERVER_KRY, SSL_FILETYPE_PEM))<=0)
    {
        printf("use private key failed!/n/n");
        ERR_print_errors_fp(stdout);
        SSL_CTX_free(ctx);
        return 0;
    }

    serv_sock = socket(AF_INET,SOCK_STREAM,0);
    if(-1 == serv_sock){
        perror("socket");
    }