TLS 总结

最新推荐文章于 2023-03-28 12:30:55 发布
最新推荐文章于 2023-03-28 12:30:55 发布
阅读量374 收藏 1
点赞数
分类专栏: 安全 文章标签: openssl ssl tls pkcs 芯片
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shareall/article/details/118575903
版权

目录

基础介绍

创建root ca

创建证书

CRL创建

编程实现CRL

PKCS11与Openssl

Openssl 与engine

查看信息

调试

检查证书与Private key是否match

基础介绍

        TLS 作用于TCP和应用之间,负责应用之间的数据加密

创建root ca

        openssl req -new -x509 -days 36500 -extensions v3_ca -keyout ca.key -out ca.crt

创建证书

     openssl genrsa -out server.key 2048

    openssl req -out server.csr -key server.key -new

    openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 36500

CRL创建

openssl ca -revoke devcacrl/mqtt-br1.neverland.com.crt -keyfile devcacrl/signing-ca.key -cert devcacrl/signing-ca.crt -config etc/signing-ca.conf,吊销证书

 openssl ca -gencrl -config etc/root-ca.conf -out rootca.crl -passin pass:flatwave239 -keyfile root-ca/private/root-ca.key -cert root-ca/01.pem,创建CRL

证书如果吊销之后不能撤回,但在测试环境下,可以刪除已有的database,然后生成空的database

-crldays,CRL有效期

编程实现CRL

          X509_STORE *pCaCertStore = SSL_CTX_get_cert_store(net->ctx); 

          X509_STORE_set_flags(pCaCertStore, X509_V_FLAG_CRL_CHECK);

         X509_V_FLAG_CRL_CHECK:只检查对端的叶子节点证书的序列号是否存在于CRL中

        X509_V_FLAG_CRL_CHECK_ALL:不仅检查叶子节点还检查对面的trust chain

一旦开启CRL检查,X509_STORE 必须能成功加载对端CA发布的CRL,如果X509_V_FLAG_CRL_CHECK_ALL,则必须包含中间CA的CRL

PKCS11与Openssl

        私钥存于加密芯片中时,芯片厂商会提供相应的接口供上层使用,为了屏蔽不同芯片厂商给上层带来的影响,PKCS11应运而生。

       openssl pkcs11 engine:https://github.com/OpenSC/libp11

       MicrochipTech/cryptoauthlib:https://github.com/MicrochipTech/cryptoauthlib

        SoftHSMv2: https://github.com/opendnssec/SoftHSMv2,实现了PKCS11接口的一个模拟芯片。

Openssl 与engine

[ openssl_def ]
engines = engine_section

[engine_section]
pkcs11 = pkcs11_section

[pkcs11_section]
engine_id = pkcs11
dynamic_path = /usr/lib/engines/pkcs11.so
MODULE_PATH = /usr/lib/libcryptoauth.so
 

编程实现从Engine(PKCS11 Engine)中加载private key    

//load engine entity by engine_id
ENGINE *engine = ENGINE_by_id(engine_id);

//get chip token
char* cmd="p11tool --list-token-urls"
char result[400]={0};
 ExecuteCMD(cmd, result);

     

//opts->engine:engine entity,opts->key_id:chip token
EVP_PKEY* pkey = ENGINE_load_private_key(opts->engine, opts->key_id, NULL,NULL);

Log(TRACE_MIN, -1, "ENGINE_load_private_key done ");

rc=SSL_CTX_use_PrivateKey(net->ctx, pkey);

查看信息

openssl x509 -in cert.pem -noout -text,查看证书信息,默认pem

openssl x509 -in cert.pem -inform der -noout -text ,查看证书信息,der格式

openssl x509 -pubkey -noout -in ca.crt ,查看证书公钥
openssl req -text -noout -in server.csr,查看csr信息

调试

openssl s_server -key server.key -cert server.crt -accept 4333 -Verify 1 -CAfile ca.crt,开启mutual authenication ,若只是server authenication, 去掉-Verify

penssl s_client -connect 192.168.1.100:4333 -CAfile /usr/cert/mqtttls/ca.crt -cert /usr/cert/mqtttls/client.crt -key /usr/cert/mqtttls/client.key

         -CAfile , file path of server trust chain,-CApath, directory contains server trust chain,run "openssl rehash" for CApath

pkcs11 engine client:

openssl s_client -connect 192.168.1.100:4333  -engine pkcs11  -keyform engine -key "pkcs11:model=ATECC508A;manufacturer=Microchip%20Technology%20Inc;serial=236253CF11C0BBAD;token=00ABC"  -cert /usr/cert/mqtttls/client.crt   -CApath /usr/cert/CertMngr/TrustedCAs/OpensslCertificates

检查证书与Private key是否match

openssl x509 –noout –modulus –in <file>.crt | openssl md5

openssl rsa –noout –modulus –in <file>.key | openssl md5

shareall
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
电子科技大学网络安全协议实验报告TLS配置和流量分析实验.docx
01-05
网络安全协议课程实验完整报告 1)理解 TLS 协议原理; 2)掌握 apache 服务器的 HTTPS 配置方法; 3)掌握 TLS 流量分析方法。
[SSL/TLS] SSL/TLS协议综合总结
邹德强(CaesarZou)的专栏
07-15 1605
密码技术 要了解SSL协议,首先要了解:加密算法、消息摘要算法(又称为哈希算法Hash),数字签名等概念。这些技术每个都可以写出一整本的书,它们结合在一起,提供了保密性、完整性和身份验证的功能。 加密算法 设想:ALICE想发消息给她的银行要汇出一笔款。ALICE希望这些消息是保密的,因为这里面包括她的帐户资料和汇款金额。一种办法是使用加密算法,这种技术将她要传递的消息变成经过加密的密文,直
TLS学习总结
weixin_34242509的博客
09-04 300
我们有知道 Immunity Debugger,OD 调试器,在调试程序时会设断在OEP(修改第一个字节0xcc)。我在想,使用什么编程技术,代码可以在OEP前被执行。在网上找了些资料,在论坛上看到许多大牛,使用静态TLS做了好多有趣的事,今天自己也来终结下,,呵呵 1. 什么是TLSTLS是Thread Local Storage(线程局部存储)的简称,是一项解决多线程内...
SSL WTLS TLS DTLS PKCS
安子自语
08-31 1275
SSL(Secure Sockets Layer安全套接层)   ssl 2.0 ssl 3.0   传输层安全(Transport Layer Security,TLS) ssl 3.1 TLSTLS需要一个可靠的传输层,也就是TCP。TLS无法在UDP上工作;X.509证书。 WTLS  --- 为WAP 1.X中的安全层。WAP讨论组;X.509证书和W
openssl 读取各种密钥的方法和接口
u013712343的博客
09-27 1952
在用openssl读取密钥的时候,从openssl的源码的找到一个很好的示例,完美的示范了读不同格式,不同密钥来源的程序,整理一下,用来学习是相当不错 完整的代码位于…/apps/app.c中 函数是 EVP_PKEY *load_key(BIO *err,const char *file,int format,int maybe_stdin,const char *pass,ENGINE *e,const char *key_descript) { const SSL_METHOD *meth;..
数据分发服务 (DDS)及Fast DDS环境搭建
最新发布
百冰千岚的博客
03-28 2179
dds概念与FAST DDS 环境的构建
openssl 加载私钥
在线笔记
10-08 2681
http://stackoverflow.com/questions/18829485/how-to-load-rsa-key-pair-without-p-q-etc-openssl EVP_PKEY *load_key(BIO *err, const char *file, int format, int maybe_stdin,     
Conda虚拟环境下libp11-kit.so.0: undefined symbol: ffi_type_pointer...问题解决
qq_38606680的博客
02-20 1万+
Conda虚拟环境下libp11-kit.so.0: undefined symbol: ffi_type_pointer...问题解决
openssl 用根证书验证一个用户证书
求索
01-13 6357
#include #include #include using namespace std; #define USER_CERT "用户证书路径"                // 这里保存的是pem格式证书 #define CA_CERT "根证书路径" int main() {  SSLeay_add_all_algorithms();  X509_STORE_
Engine pkcs11 quickstart
求索
01-10 2089
Quick Start Please first install the PKCS#11 Module you want to use such as OpenSC, and install libp11 (runtime and development). Installing engine_pkcs11 is quite simple: wget http://www.opens
openssl 不验证证书有效期_使用 Openssl 验证自签名证书
weixin_39856269的博客
12-18 820
iOS的 security framework 框架前面已经介绍。这个框架提供有限的功能,使用它能做到的,比你想象的要少。笔者一直想找一个iOS 下比较好的功能全面的安全算法库,结果却一无所获。不知道谁能介绍下这方面。最终还是只有求助于闻名已久的Openssl library。Openssl 确实十分强大,然而其糟糕文档仍让人难以满意。当然,网络上使用Openssl 的例子非常多,不过能写这个的似...
使用Openssl验证证书链
weixin_34008805的博客
06-23 331
使用Openssl验证证书链 项目中遇到使用Openssl验证证书链的问题,在网上找了很长时间,发现这方面的资料很少,通过多方努力,总算实现了基本功能,为了 给大家提供一下参考,本人实现了一个验证证书链的类,以供参考,由于本人也是刚刚接触Openssl,如果有不正确的地方,请大家多多指导 view plaincopy to clipboardprint?...
php curl 实现ssl/tls的完全代码 ca.crt,client.crtm,client.key
weixin_42094764的博客
11-25 651
最近在对接一个接口,由于数据涉及用户隐私,所以接口使用了ssl/tls 加密。 对方直接发了我三个文件 ca.crt,client.crtm,client.key,我先百度了下,都没有用crt的curl https 请求,看了下手册,发现里面说需要把curl 转成pem才行。于是我在线上服务器上 ...
转一篇OpenSSL的例子:简单的TLS服务器
weixin_30526593的博客
10-17 536
原名:Simple TLS Server 原址:https://wiki.openssl.org/index.php/Simple_TLS_Server Windows下就不要从源码编译OpenSSL了,麻烦。下载一些库与头文件进行链接编译吧。 Windows虽然有OpenSSL的功能,但是没有好的并且简单的例子演示如何实现TLS服务器。 原文: The code below is a ...
在Linux下交叉编译Cryptoauthlib到ARM平台下
FlyerInk的博客
06-23 1618
Cryptoauthlib是Microchip针对安全芯片发布的C语言的代码库。具有优秀的分层结构,可以很方便地移植到任意平台中。并且提供了针对常用SSL库的适配层,支持OpenSSL, MbedTLS, WolfSSL等。 目前大部分的Linux系统中使用OpenSSLOpenSSL调用硬件SE是通过PKCS11来实现的。本文将介绍OpenSSL通过PKCS11来调用Cryptoauthlib,实现操作硬件SE的步骤。 基本的依赖关系为: OpenSSL -> p11-kit -> libp
TLS 详解
热门推荐
summer_fish的专栏
06-15 2万+
SSL(Secure Sockets Layer) 安全套接层,是一种安全协议,经历了 SSL 1.0、2.0、3.0 版本后发展成了标准安全协议 - TLS(Transport Layer Security) 传输层安全性协议。TLS 有 1.0 (RFC 2246)、1.1(RFC 4346)、1.2(RFC 5246)、1.3(RFC 8446) 版本。TLS 在实现上分为 记录层 和 握手层 两层,其中握手层又含四个子协议: 握手协议 (handshake protocol)、更改加密规范协议 (c
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值