Openssl 建立双向认证的 SSL/TLS 通信

于 2022-11-01 20:50:03 发布
阅读量1.8k 收藏 9
点赞数 1
分类专栏: SSL/TLS 文章标签: ssl 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tx1991427/article/details/127640282
版权

话不多说,直接利用 Openssl 在两台 uBuntu 之间建立双向认证SSL/TLS 通信。

笔者使用的 Openssl 版本为 OpenSSL 1.1.1 11 Sep 2018

生成证书

执行以下脚本,会自动生成 CA 证书及利用这个 CA 证书颁发给 ServerClient 的证书

# * Redistributions in binary form must reproduce the above copyright
#   notice, this list of conditions and the following disclaimer in the
#   documentation and/or other materials provided with the distribution.
# * Neither the name of the axTLS project nor the names of its
#   contributors may be used to endorse or promote products derived
#   from this software without specific prior written permission.
#
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
# "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
# LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR 
# A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR
# CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
# SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
# TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
# DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY 
# OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
# NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
# THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
#

#
# Generate the certificates and keys for testing.
#


PROJECT_NAME="TLS Project"

# Generate the openssl configuration files.
cat > ca_cert.conf << EOF  
[ req ]
distinguished_name     = req_distinguished_name
prompt                 = no

[ req_distinguished_name ]
 O                      = $PROJECT_NAME Dodgy Certificate Authority
EOF

cat > server_cert.conf << EOF  
[ req ]
distinguished_name     = req_distinguished_name
prompt                 = no

[ req_distinguished_name ]
 O                      = $PROJECT_NAME
 CN                     = 192.168.1.101
EOF

cat > client_cert.conf << EOF  
[ req ]
distinguished_name     = req_distinguished_name
prompt                 = no

[ req_distinguished_name ]
 O                      = $PROJECT_NAME Device Certificate
 CN                     = 192.168.1.33
EOF

mkdir ca
mkdir server
mkdir client
mkdir certDER

# private key generation
openssl genrsa -out ca.key 2048
openssl genrsa -out server.key 2048
openssl genrsa -out client.key 2048

# cert requests
openssl req -out ca.req -key ca.key -new \
            -config ./ca_cert.conf
openssl req -out server.req -key server.key -new \
            -config ./server_cert.conf 
openssl req -out client.req -key client.key -new \
            -config ./client_cert.conf 

# generate the actual certs.
openssl x509 -req -in ca.req -out ca.crt \
            -sha256 -days 5000 -signkey ca.key
openssl x509 -req -in server.req -out server.crt \
            -sha256 -CAcreateserial -days 5000 \
            -CA ca.crt -CAkey ca.key
openssl x509 -req -in client.req -out client.crt \
            -sha256 -CAcreateserial -days 5000 \
            -CA ca.crt -CAkey ca.key
 
openssl x509 -in ca.crt -outform DER -out ca.der
openssl x509 -in server.crt -outform DER -out server.der
openssl x509 -in client.crt -outform DER -out client.der

mv ca.crt ca.key ca/
mv server.crt server.key server/
mv client.crt client.key client/

mv ca.der server.der client.der certDER/

rm *.conf
rm *.req
rm *.srl

该脚本需要注意以下几点:

  1. 加密位数为 2048 bits
  2. 签名算法为 sha256WithRSAEncryption
  3. ServerCN 域和 ClientCN 域需要根据实际 IP 地址修改

脚本执行完后会自动生成以下 4 个目录:

  1. ca
  2. certDER
  3. client
  4. server

Note:
虽然我的脚本代码也是借鉴的大神的,但在 Client 去连接 Server 的时候一直会报如下错误:

error setting certificate
139829188207936:error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak:../ssl/ssl_rsa.c:310:

经过定位才发现,原来是之前脚本是采用的签名算法为 sha1WithRSAEncryption,该算法较弱的缘故。所以在自己的脚本中将签名算法由之前的 -sha1 修该为 -sha256

建立 TLS/SSL Server

在一台 uBuntu 上执行以下命令建立 TLS/SSL Server

openssl s_server -CAfile ./ca/ca.crt -cert ./server/server.crt -key ./server/server.key -port 20001 -verify 1 -tls1_2

各个参数意义如下:

  1. -CAfile:CA 证书目录
  2. -cert:Server 证书目录,由 CA 证书颁发
  3. -key:Server 私钥目录
  4. -port:服务端口
  5. -verify:校验 Client 端提供的证书链的深度。当指定了该选项时,Server 端必须对 Clent 的证书进行校验,换句话说就是 Client 必须提供证书,在换句话说就是双向认证
  6. -tls1_2:指定使用 TLS v1.2 版本。

更多参数的意义请参考官网文档

命令执行成功后 Server 即开始侦听指定端口
在这里插入图片描述

建立 TLS/SSL Client

在另一台 uBuntu 上执行以下命令建立 TLS/SSL Client

openssl s_client -CAfile ./ca/ca.crt -cert ./client/client.crt -key ./client/client.key -connect 192.168.1.101:20001 -verify 1

各个参数意义如下:

  1. -CAfile:CA 证书目录
  2. -cert:Client 证书目录,由 CA 证书颁发
  3. -key:Client 私钥目录
  4. -connect:连接的 Server 的 IP 地址和端口
  5. -verify:校验 Server 端提供的证书链的深度。当指定了该选项时,Client 端必须对 Server 的证书进行校验,换句话说就是 Server 必须提供证书,在换句话说就是双向认证

更多参数的意义请参考官网文档

命令执行成功后 Client 就可以输入数据,同时 Server 端也能接收到数据。由于建立 TSL/SSL 连接的过程中的信息太多,这里就不说明。

TSL/SSL 抓包

在这里插入图片描述
通过抓包分析:

  1. NO 14491 包为 Server 将自己的证书发送给 Client
  2. NO 15447 包为 Client 将自己的证书发送给 Server
嵌入式工程狮
关注
专栏目录
openSSL实现TLS双向认证
新时代农民工
07-26 1357
TLS(传输层安全性)双向认证,也称为客户端认证或互相认证,是一种网络安全协议的扩展,用于建立在传输层上的安全连接。传统的TLS认证只需要服务器验证客户端的身份,而双向认证则要求客户端也验证服务器的身份。在TLS双向认证中,客户端和服务器都必须拥有数字证书。数字证书由可信的第三方证书颁发机构(CA)签发,用于证明实体(如服务器)的身份。以下是TLS双向认证的基本步骤:1. 服务器配置:服务器需要配置受信任的数字证书,该证书由CA签发。配置包括私钥和公钥。
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理
热门推荐
ustccw
08-04 11万+
本文部分参考: https://www.wosign.com/faq/faq2016-0309-03.htm https://www.wosign.com/faq/faq2016-0309-04.htm http://blog.csdn.net/hherima/article/details/52469674 一: SSL/TLS介绍 什么是SSL,什么是TLS呢?官话说SSL是安全套...
Openssl建立SSL双向认证连接源码
wangminshe89
11-11 381
(作者:陈波,2011-11-16,转载请注明 Form:http://blog.csdn.net/jinhill/article/details/6979200) #include "stdio.h" #include "string.h" #include "openssl/ssl.h" #include "openssl/bio.h" #include "openssl/err.h...
openssl实现双向认证教程(服务端代码+客户端代码+证书生成)
CHYabc123456hh的博客
07-19 1606
openssl实现双向认证教程(服务端代码+客户端代码+证书生成)
openssl双向认证
LJYXz的博客
04-10 358
Qt使用openssl库进行双向认证ssl_connect连接失败 在Qt里加入openssl的动态库,实现双向认证。 客户端与服务器进行ssl_connect 和ssl_accept时一直报错。 最后发现是Qt的Qtcpsocket的套接字默认是不阻塞模式,但是我认为ssl_connect 和ssl_accept是要走一套流程的 ssl通过套接字进行证书的验证,但如果处于不阻塞模式,很有可能会因为客户端未收到服务器的证书而完成ssl_connect连接,导致ssl连接认证失败。 解决方法:QT得到套接
基于openssl的单向和双向认证
zhanglei_admin的博客
07-27 2910
1、前言    最近工作涉及到https,需要修改nginx的openssl模块,引入keyless方案。关于keyless可以参考CloudFlare的官方博客: https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/?utm_source=tuicool&utm_medium=referral。 在openssl的基础上修改私钥校验过程,因此需要对openssl认证认证流程需要熟悉一下。SSL
JAVA实现的SSL/TLS双向认证源代码
02-02
本篇将深入探讨如何使用Java实现SSL/TLS双向认证,以及涉及到的相关工具和步骤。 首先,让我们理解什么是SSL/TLS双向认证。通常,SSL/TLS连接采用单向认证,即服务器验证客户端的身份,而客户端不需要验证服务器。...
SSL/TLS通信及其在Java中的实践
melody12ab的专栏
07-12 4122
SSL/TLS原理整理,Java中的实践,包括Stream Socket,NIO,AIO,Netty的实践。
SSL/TLS 双向认证(一) -- SSL/TLS工作原理
乐呵乐呵
11-02 6918
本文介绍了 SSL/TLS 相关原理以及相关实践
Openssl实现双向认证教程(附服务端客户端代码)
09-14
总结,OpenSSL双向认证涉及证书的生成、配置SSL_CTX上下文、加载证书和私钥,以及在服务端和客户端进行验证。正确实施双向认证可以显著提高通信的安全性,防止未经授权的第三方干扰或窃取数据。对于开发者来说,理解...
OpenSSL进行TLS_SSL编程
05-29
OpenSSL进行TLS_SSL编程
ssl双向认证 ,客户端c代码
12-02
主要介绍openssl进行客户端-服务器双向验证的通信,客户端应该如何设置。包括了如何使用openssl指令生成客户端-服务端的证书和密钥,以及使用openssl自带server端来实现简单的ssl双向认证,client端代码中也做了相应的标注和说明,提供编译的Makefile.希望对开始学习如何使用openssl进行安全连接的朋友有益
用tomcat和openSSL构建https双向认证
07-28
这是我实战的笔记,全程直播。 #### Tomcat和Openssl构建HTTPS双向认证 ###### 选择HTTPS WEB服务器 Linux下安装OpenSSL 一、创建服务器证书、客户端证书以及CA 1、生成--服务器端--私钥和证书请求 2、生成--客户端-----私钥和证书请求 3、生成CA 4、通过CA签发证书 5、生成pem格式证书 6、生成pkcs12格式证书 二、tomcat实现双向认证 1、创建服务器信任的CA证书库 2、配置Tomcat支持HTTPS双向认证(服务器将认证客户端证书)
openssl编写SSL,TLS程序
太郎之石的专栏
04-18 2935
openssl编写SSL,TLS程序发布日期:2002-09-19文章内容:--------------------------------------------------------------------------------作者:yawl(yawl@nsfocus.com)日期:2000-08-15一:简介:SSL(Secure Socket Layer)是netscape公司提出的
openssl搭建双向认证https
weixin_33701564的博客
04-08 153
http://www.barretlee.com/blog/2015/10/05/how-to-build-a-https-server/ http://blog.163.com/fangjinbao@126/blog/static/50873786201111265749952/ 一、生成密钥、证书 第一步,为服务器端和客户端准备公钥、私钥 # 生成服务器端私钥 o...
openssl s_client s_server双向认证
来说意义非凡3
03-05 9897
1 自建CA-certs目录[root@localhost ~]# tree tls tls ├── 1 │   ├── 1.crt │   ├── 1.csr │   └── 1.key ├── 2 │   ├── 2.crt │   ├── 2.csr │   └── 2.key ├── certs ├── crl ├── index.txt ├── index.txt.attr ├── in...
在libuv中使用openssl建立ssl连接
weixin_34395205的博客
04-27 407
在libuv中使用openssl建立ssl连接 @(blogs) 使用openssl进行加密通信时,通常是先建立socket连接,然后使用SSL_XXX系列函数在普通socket之上建立安全连接,然后发送和接收数据。openssl的这些函数可以支持底层的socket是非阻塞模式的。但当将openssl和libuv进行结合时,会遇到一些问题: openssl在进行数据读写之前,需要进行若干次“握手...
使用openssl生成证书,emqx tls 双向认证
yhtppp的专栏
01-12 488
1、生成 CA 自签名证书 openssl genrsa -out certs/root-ca.key 2048 生成私钥 openssl req -new -x509 -days 365 -config ./openssl.cnf -key certs/root-ca.key -out certs/root-cacert.pem -subj "/C=CN/ST=NANJING/O=EMQ/CN=RootCA" 生成证书,pem文件,包含公钥和一些其他信息 openssl ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

嵌入式工程狮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值