HTTPS 实现

最新推荐文章于 2024-08-08 07:04:56 发布
最新推荐文章于 2024-08-08 07:04:56 发布
阅读量2.2k 收藏 4
点赞数 2
分类专栏: # 嵌入式软件笔记 文章标签: https ssl http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011559046/article/details/122222949
版权
HTTPS 实现

HTTPS 介绍

HTTPS 简史

在早期HTTP诞生的这几年间,1990年~·1994年,HTTP作为一个应用层协议,它是这样工作的:
请添加图片描述
后来网景公司开发了SSL(Secure Sockets Layer)技术,然后它就变成了这样的HTTP,也就是HTTPS了:
请添加图片描述
后来爆发了与IE的世纪大战,网景败北,SSL移交给了IETF(Internat Engineering Task Force)互联网工程任务组,标准化之后变成了现在的TLS,现在一般会把它们两个放在一起称为SSL/TLS。本篇并不关注SSL/TLS具体是如何工作的,只是抽象的解释下HTTPS的一个工作流程。

HTTPS 工作流程

请添加图片描述

  1. Client发起一个HTTPS(https:/demo.linianhui.dev)的请求,根据RFC2818的规定,Client知道需要连接Server的443(默认)端口。
  2. Server把事先配置好的公钥证书(public key certificate)返回给客户端。
  3. Client验证公钥证书:比如是否在有效期内,证书的用途是不是匹配Client请求的站点,是不是在CRL吊销列表里面,它的上一级证书是否有效,这是一个递归的过程,直到验证到根证书(操作系统内置的Root证书或者Client内置的Root证书)。如果验证通过则继续,不通过则显示警告信息。
  4. Client使用伪随机数生成器生成加密所使用的会话密钥,然后用证书的公钥加密这个会话密钥,发给Server。
  5. Server使用自己的私钥(private key)解密这个消息,得到会话密钥。至此,Client和Server双方都持有了相同的会话密钥
  6. Server使用会话密钥加密“明文内容A”,发送给Client。
  7. Client使用会话密钥解密响应的密文,得到“明文内容A”。
  8. Client再次发起HTTPS的请求,使用会话密钥加密请求的“明文内容B”,然后Server使用会话密钥解密密文,得到“明文内容B”。

搭建https服务

首先确认安装OpenSSL

确定OpenSSL版本:

$openssl version

如果版本低于1.0.1f,建议升级,因为1.0.1f版本之下的OpenSSL有一个Heartbleed漏洞。
安装OpenSSL:

$sudo apt-get install openssl

自建CA

因为向CA申请签名是需要收费的,所以我们选择自己搭建一个CA来完成这个实验过程。
首先建立myCA目录用于存放CA相关信息

cd && mkdir -p myCA/signedcerts && mkdir myCA/private && cd myCA

myCA 用于存放 CA 根证书,证书数据库,以及后续服务器生成的证书,密钥以及请求
signedcerts:保存签名证书的 copy
private: 包含私钥

之后配置myCA相关参数,在myCA目录下进行

echo '01'>serial && touch index.txt

然后创建 caconfig.cnf 文件

vim ~/myCA/caconfig.cnf

caconfig.cnf文件内容如下

# My sample caconfig.cnf file.<div align='center' ><font size='70'>HTTPS 实现</font></div>
#
# Default configuration to use when one is not provided on the command line.
#
[ ca ]
default_ca      = local_ca
#
#
# Default location of directories and files needed to generate certificates.
#
[ local_ca ]
dir             = /home/didi/myCA                    # 这里要将username替换为你的用户名
certificate     = $dir/cacert.pem
database        = $dir/index.txt
new_certs_dir   = $dir/signedcerts
private_key     = $dir/private/cakey.pem
serial          = $dir/serial
#       
#
# Default expiration and encryption policies for certificates.
#
default_crl_days        = 365
default_days            = 1825
default_md              = SHA256
#       
policy          = local_ca_policy
x509_extensions = local_ca_extensions
#       
#
# Default policy to use when generating server certificates.  The following
# fields must be defined in the server certificate.
#
[ local_ca_policy ]
commonName              = supplied
stateOrProvinceName     = supplied
countryName             = supplied
emailAddress            = supplied
organizationName        = supplied
organizationalUnitName  = supplied
#       
#
# x509 extensions to use when generating server certificates.
#
[ local_ca_extensions ]
subjectAltName          = DNS:localhost
basicConstraints        = CA:false
nsCertType              = server
#       
#
# The default root certificate generation policy.
#
[ req ]
default_bits    = 2048
default_keyfile = /home/didi/myCA/private/cakey.pem  # 这里要将username替换为你的用户名
default_md      = SHA256
#       
prompt                  = no
distinguished_name      = root_ca_distinguished_name
x509_extensions         = root_ca_extensions
#
#
# Root Certificate Authority distinguished name.  Change these fields to match
# your local environment!
#
[ root_ca_distinguished_name ]
commonName              = MyOwn Root Certificate Authority # CA机构名
stateOrProvinceName     = BJ                               # CA所在省份
countryName             = CN                               # CA所在国家(仅限2个字符)
emailAddress            = XXXX@XXX.com                     # 邮箱
organizationName        = XXX                              # 
organizationalUnitName  = XXX                              # 
#       
[ root_ca_extensions ]
basicConstraints        = CA:true

生成 CA 根证书和密钥

export OPENSSL_CONF=~/myCA/caconfig.cnf       #该命令用于给环境变量 OPENSSL_CONF 赋值为caconfig.cnf。
openssl req -x509 -newkey rsa:2048 -out cacert.pem -outform PEM -days 1825             # 生成 CA 根证书和密钥

该命令需要用户设置密码。不要忘记。
以上步骤生成了 CA 自签名根证书,和 RSA 公/私密钥对。证书的格式是 PEM,有效期是1825天。

  • /myCA/cacert.pem: CA 根证书
  • /myCA/private/cakey.pem: CA 私钥

创建服务器公私钥

生成服务器配置文件exampleserver.cnf

vim ~/myCA/exampleserver.cnf

exampleserver.cnf文件内容如下

#
# exampleserver.cnf
#

[ req ]
prompt             = no
distinguished_name = server_distinguished_name

[ server_distinguished_name ]
commonName              = localhost          # 服务器域名
stateOrProvinceName     = BJ                 # 服务器所在省份
countryName             = CN                 # 服务器所在国家(仅限2个字符)
emailAddress            = XXXX@XXX.com       # 邮箱
organizationName        = XXX                # 
organizationalUnitName  = XXX                #

生成服务器证书和密钥

export OPENSSL_CONF=~/myCA/exampleserver.cnf   # 该命令设置环境变量 OPENSSL_CONF,使得 openssl 更换配置文件。
openssl req -newkey rsa:1024 -keyout tempkey.pem -keyform PEM -out tempreq.pem -outform PEM

同样的,需要输入密码短语。
之后,有2种对临时秘钥的操作,选择其一即可
1.将临时私钥转换为 unencrypted key,即秘钥不加密状态。

openssl rsa -in tempkey.pem -out server_key.pem

需要输入密码短语。

2.如果希望将 key 保持为加密状态,直接改名

mv tempkey.pem server_key.pem

两者的区别是,第二种需要在服务器启动时输入私钥的密码短语,否则会导致服务器启动失败,但第二种安全性高于第一种,可以更好的保护秘钥。

使用 CA key 对服务器证书签名

export OPENSSL_CONF=~/myCA/caconfig.cnf
openssl ca -in tempkey.pem -out server_crt.pem

这里提示:

Can't open /home/shawn/myCA/index.txt.attr for reading, No such file or directory
140344032040704:error:02001002:system library:fopen:No such file or directory:crypto/bio/bss_file.c:74:fopen('/home/shawn/myCA/index.txt.attr','r')
140344032040704:error:2006D080:BIO routines:BIO_new_file:no such file:crypto/bio/bss_file.c:81:

是Openssl的bug,在myCA目录下再touch一个index.txt.attr即可

删除临时证书和密码文件

rm -f tempkey.pem && rm -f tempreq.pem

现在,自签名的服务器证书和密钥对便产生了:

  • server_crt.pem : 服务器证书文件
  • server_key.pem : 服务器密钥文件

搭建https工程

基于 cpp-httplib搭建工程 , 工程地址 :http-https

  1. server 端代码
#include <httplib.h>
#include <fstream>
#include <iostream>
#include <string>

using namespace std::placeholders;

class TEST
{
   private:
    httplib::Server *m_svr;
    void recvGetHelloHandle(const httplib::Request &req, httplib::Response &res);

   public:
    TEST();
    ~TEST()
    {
        delete m_svr;
    }

    void start(int port)
    {
        m_svr->listen("0.0.0.0", port);
    }
};

TEST::TEST()
{
    m_svr = new httplib::Server;
    httplib::Server::Handler getHello_cb = std::bind(&TEST::recvGetHelloHandle, this, _1, _2);
    m_svr->Get("/hello", getHello_cb);
}

void TEST::recvGetHelloHandle(const httplib::Request &req, httplib::Response &res)
{
    if (!req.has_header("token"))
    {
        res.set_content("fail", "text/plain");
        return;
    }

    std::string token = req.get_header_value("token");
    std::cout << "token : " << token << std::endl;
}

class TESTHTTPS
{
   private:
    httplib::SSLServer *m_svr;
    void recvGetHelloHandle(const httplib::Request &req, httplib::Response &res);

   public:
    TESTHTTPS();
    ~TESTHTTPS()
    {
        delete m_svr;
    }

    void start(int port)
    {
        m_svr->listen("localhost", port);
    }
};

TESTHTTPS::TESTHTTPS()
{
    m_svr = new httplib::SSLServer("./data/server_crt.pem", "./data/server_key.pem");

    httplib::SSLServer::Handler getHello_cb = std::bind(&TESTHTTPS::recvGetHelloHandle, this, _1, _2);
    m_svr->Get("/dd/hello", getHello_cb);
}

void TESTHTTPS::recvGetHelloHandle(const httplib::Request &req, httplib::Response &res)
{
    if (!req.has_header("token"))
    {
        res.set_content("fail", "text/plain");
        return;
    }

    std::string token = req.get_header_value("token");
    std::cout << "token : " << token << std::endl;
}

int main(void)
{
    TESTHTTPS test;
    test.start(8887);
}
  1. client 端代码
#include <httplib.h>
#include <fstream>
#include <iostream>
#include <string>

class TESTHTTP
{
   private:
    httplib::Client *m_cli;

   public:
    TESTHTTP()
    {
        m_cli = new httplib::Client("https://localhost:8887");
    }
    ~TESTHTTP()
    {
        delete m_cli;
    }
c++
    void testGetHello();
};

void TESTHTTP::testGetHello()
{
    httplib::Params params = {{"params", "test"}};
    httplib::Headers headers = {{"version", "0.0.0.1"},
                                {"token", "V66n56XJBD/4LTMsGDqE0dlRPtkVmQ0hlIQNwcBMZkU4bQeDTBlMEUluqnha1g/ZsEMK/0JHKtEBwHH2Ko9iEA=="}};
    auto res = m_cli->Get("/dd/hello", params, headers);
    std::cout << httplib::to_string(res.error()) << std::endl;
    std::cout << res->body << std::endl;
}

class TESTHTTPS
{
   private:
    httplib::Client *m_cli;

   public:
    TESTHTTPS()
    {
        m_cli = new httplib::Client("https://localhost:8887");
        m_cli->set_ca_cert_path("./data/cacert.pem");
        m_cli->enable_server_certificate_verification(true);
    }
    ~TESTHTTPS()
    {
        delete m_cli;
    }

    void testGetHello();
};

void TESTHTTPS::testGetHello()
{
    httplib::Params params = {{"params", "test"}};
    httplib::Headers headers = {{"version", "0.0.0.1"},
                                {"token", "V66n56XJBD/4LTMsGDqE0dlRPtkVmQ0hlIQNwcBMZkU4bQeDTBlMEUluqnha1g/ZsEMK/0JHKtEBwHH2Ko9iEA=="}};
    auto res = m_cli->Get("/dd/hello", params, headers);
    std::cout << httplib::to_string(res.error()) << std::endl;
    std::cout << res->body << std::endl;
}

int main(void)
{
    // TESTHTTP T;
    // T.testPostPush();

    TESTHTTPS T;
    T.testGetHello();
}

参考

信安实践——自建CA证书搭建https服务器
HTTPS工作流程

测试工程

http-https

002237
关注
专栏目录
https实现原理(SSL认证过程)
Tiger的专栏
09-03 6630
目录 1.https验证原理 1.1原理图 1.2https建立连接过程 1.2.1 客户端访问https连接 1.2.2 - 1.2.3 服务端发送证书(公钥)给客户端 1.2.4- 1.2.5 客户端验证服务端的证书 1.2.6 - 1.2.7 服务端接收加密信息,解密得到客户端提供的随机字符串 1.2.8 客户端验证服务端返回的握手信息,完成握手 1.3 验证总结 2.SSL请求完整过程示例 3.客户端验证证书的合法性 Http协议 由于 HTTP 协议在通信过程中,是基于明
用java实现HTTPS工作原理的例子
09-18
使用java代码模拟https实现。具体来源详见:https://my.oschina.net/ydsakyclguozi/blog/612886。 欢迎大家去看,我不敢将功劳据为己有。 包括如下6个类: DesCoder Des对称加密和解密工具类 HttpsMockBase https父类 HttpsMockClient client类 HttpsMockServer 服务器类 SocketUtils socket工具类
HTTPS的Socket实现代码
JAVAweb学习
02-22 314
服务端 import java.io.BufferedInputStream; import java.io.BufferedOutputStream; import java.io.FileInputStream; import java.io.InputStream; import java.io.OutputStream; import java.net.Socket; import jav
探索cpp-httplib:一个高效的C++ HTTP/HTTPS
最新发布
gitblog_00497的博客
08-08 636
探索cpp-httplib:一个高效的C++ HTTP/HTTPS库 cpp-httplibA C++ header-only HTTP/HTTPS server and client library项目地址:https://gitcode.com/gh_mirrors/cp/cpp-httplib 项目介绍 cpp-httplib 是一个基于C++11的单文件、跨平台的HTTP/HTTPS库。...
【BIO】基于BIO实现简单动态HTTP服务器
futao__的博客
07-07 490
需求 支持浏览器客户端接入 根据请求的资源路径响应正确的结果 支持访问静态资源 支持访问动态资源 当资源不存在时响应404提示 当发生异常时提示500错误 为保证服务器安全稳定,服务器端不可无限开启新线程 思路 启动ServerSocket,监听指定端口 等待客户端接入,将接入的客户端交给线程池去处理,主线程继续监听客户端接入 静态资源:从指定的静态资源路径去查找文件,将文件转换为字节,写入输出流 动态资源:从类路径下查找响应的Servlet,调用Servlet的service处理程序,将返回..
https的具体实现
盛夏北梦的博客
10-22 970
实现ssl最简单的方法就是自己给自己颁发证书,自签名证书,用自签名证书非常简单,只需要安装一个软件包叫mod_ssl,装完以后用rpm -ql mod_ssl看一下,发现里面的文件已经调用了证书信息,而这个证书是通过一个脚本实现的(rpm -q –scripts mod_ssl)现在已经有证书文件了(ll /etc/pki/tls/certs)私钥文件也有了(ll /etc/pki/tls/pr
https自制签名证书
dk's blog
08-14 387
openssl 生成证书主要工具
STM32+W5500_HTTPS实现访问.zip
03-31
通过STM32F103单片机和W5500网络芯片,实现建立HTTPS访问服务器,可以使用网页进行浏览,操作配置参数等。 【实例截图】 【核心代码】 出厂默认程序是“HTTP Server NetBIOS 固定IP协议”组合,并内嵌“梦想版”...
C++ 实现 HTTP HTTPS POST GET(包含curl版本和winhttp两种实现)
04-25
C++ 实现 HTTP HTTPS POST GET(包含curl版本和winhttp两种实现)。 玩过抓包,网络协议分析的朋友肯定都知道http https post get,web端和用户的交互主要是通过post get完成的。 我这里有两种实现: 1:libcurl实现的...
linux下C语言实现https请求源码
10-31
利用OpenSSL实现https get请求,在ubuntu16.04下验证通过.文档中包含源文件,Makefile文件.
C语言实现https客户端
09-04
C语言实现opensslhttps客户端post方法使用,可以传入json字符串的格式,测试的例子,可以使用
cpp-httplib:仅C ++标头的HTTPHTTPS服务器和客户端库
01-30
cpp-httplib 一个C ++ 11单文件纯标题跨平台HTTP / HTTPS库。 设置非常容易。 只需在您的代码中包含httplib.h文件即可! 注意:这是一个多线程的“阻止” HTTP库。 如果您正在寻找“非阻塞”库,那么这不是您想要的。 简单的例子 服务器 # define CPPHTTPLIB_OPENSSL_SUPPORT # include " path/to/httplib.h " // HTTP httplib::Server svr; // HTTPS httplib::SSLServer svr; svr.Get( " /hi " , []( const httplib::Request &, httplib::Response &res) { res. set_content ( " Hello World! " , " text/plain " ); }); svr.listen( " 0.0.0.0 " , 8080 ); 客户 # define CPPHTTPLIB_OPENSSL_SUPPORT # include " path/to/h
c语言实现https服务器(纯享版)
qq_44398094的博客
03-17 1364
【代码】c语言实现https服务器(纯享版)
使用openSSL和开源httplib库搭建本地https代理服务器及https客户端
苞米地里捉小鸡的博客
05-21 5472
第一部分原理及环境搭建 参考 httplib库原理 httplib搭建简单服务器与浏览器交互 httplib GitHub 1.0certmgr证书管理工具 该项目本部分需要实现本地客户端与远端服务器进行通信(例如国外网站),那么如果直接进行Socket连接将会非常慢或者撞墙,那么这个时候考虑使用本地客户端先与本地代理服务器进行通信,然后本地客户端每次访问一次URL地址,都需要将证书添加到受信任的根证书颁发机构,不然证书以及私钥对不上服务器将不允许访问。查看证书可以通过cmd命令行certm..
自制证书实现网站https访问2
包子大叔的笔记
03-30 851
制作过程 1,自制CA私钥 openssl genrsa -des3 -out ca.key 4096 2,自制CA证书 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt 3,自制Server私钥,生成免密码版本 openssl genrsa -des3 -out server.key 4096 openssl rsa -in se...
(超简单)cpp-httplib搭建服务器和客户端
xue_wu_zhi_jing的博客
10-13 7880
这里使用了httplib.h,是直接使用的别人封装好的库,超简单搭建服务器和客户端,但是要学习还是得自己一步一步的去敲,不要用库,学会在用这个库就简单 服务端 #include "httplib.h" #include "json.hpp" #include <iostream> #include <thread> using namespace std; using namespace httplib; struct test { string name; int
https工作原理-实现过程(详细版)
Lcongming的博客
06-14 1700
标准版: 1.客户端发起HTTPS请求: 客户端访问某个web端的https地址,一般都是443端口 2.服务端的配置: 采用https协议的服务器必须要有一套证书,可以通过一些组织申请,也可以自己制作,目前国内很多网站都 自己做的,当你访问一个网站的时候提示证书不可信任就表示证书是自己做的,证书就是一个公钥和私钥匙, 就像一把锁和钥匙,正常情况下只有你的钥匙可以打开你的锁,你可以把这个送给别人让他锁住一个箱子,里 面放满了钱或秘密,别人不知道里面放了什么而且别人也打不开,只有你的钥匙是可以打开的。 3..
httplib库的使用(支持http/https)(一)
热门推荐
harry49的博客
04-16 3万+
httplib库的使用,支持http/httpshttplib库简介如何使用文件目录client端快速搭建一个client端HTTPS下载文件GET大数据POST大数据上传文件server端的简单使用 httplib库简介 httplib库是一个以C++11特性编写的库,所以编译器也需要能支持C++11的。库在使用时只需包含一个头文件即可,非常方便。 下载地址 注意:此库为线程阻塞,使用时还请注意。 如何使用 文件目录 下载后的包解压后有如下文件 其中httplib.h为库的头文件,使用时只需要将此头文件
cacert.pem是怎么来的
m0_37477061的博客
06-29 8903
小弟最近在搞支付宝支付接口,碰到个问题,help……我看demo中有下面一行代码:PHP code?123//ca证书路径地址,用于curl中ssl校验//请保证cacert.pem文件在当前文件夹目录中$alipay_config['cacert']    = getcwd().'\\cacert.pem';查了很久也没说这个cacert.pem是怎么来的,头疼啊啊啊啊啊啊啊 各位大哥,知道的给...
fastapi https实现
03-11
FastAPI 可以通过使用 Python 的标准库中的 ssl 模块来实现 HTTPS。具体步骤如下: 1. 生成 SSL 证书和密钥文件,可以使用 OpenSSL 工具生成,也可以购买证书。 2. 在 FastAPI 中使用 ssl 模块加载证书和密钥文件,例如: ```python import ssl from fastapi import FastAPI app = FastAPI() context = ssl.create_default_context(purpose=ssl.Purpose.CLIENT_AUTH) context.load_cert_chain(certfile="path/to/cert.pem", keyfile="path/to/key.pem") @app.get("/") async def root(): return {"message": "Hello World"} ``` 这样就可以在 FastAPI 中实现 HTTPS 了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

002237

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值