HTTPS 实现

最新推荐文章于 2024-02-25 17:29:08 发布
最新推荐文章于 2024-02-25 17:29:08 发布
阅读量2k 收藏 4
点赞数 2
分类专栏: # 嵌入式软件笔记 文章标签: https ssl http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011559046/article/details/122222949
版权
HTTPS 实现

HTTPS 介绍

HTTPS 简史

在早期HTTP诞生的这几年间,1990年~·1994年,HTTP作为一个应用层协议,它是这样工作的:
请添加图片描述
后来网景公司开发了SSL(Secure Sockets Layer)技术,然后它就变成了这样的HTTP,也就是HTTPS了:
请添加图片描述
后来爆发了与IE的世纪大战,网景败北,SSL移交给了IETF(Internat Engineering Task Force)互联网工程任务组,标准化之后变成了现在的TLS,现在一般会把它们两个放在一起称为SSL/TLS。本篇并不关注SSL/TLS具体是如何工作的,只是抽象的解释下HTTPS的一个工作流程。

HTTPS 工作流程

请添加图片描述

  1. Client发起一个HTTPS(https:/demo.linianhui.dev)的请求,根据RFC2818的规定,Client知道需要连接Server的443(默认)端口。
  2. Server把事先配置好的公钥证书(public key certificate)返回给客户端。
  3. Client验证公钥证书:比如是否在有效期内,证书的用途是不是匹配Client请求的站点,是不是在CRL吊销列表里面,它的上一级证书是否有效,这是一个递归的过程,直到验证到根证书(操作系统内置的Root证书或者Client内置的Root证书)。如果验证通过则继续,不通过则显示警告信息。
  4. Client使用伪随机数生成器生成加密所使用的会话密钥,然后用证书的公钥加密这个会话密钥,发给Server。
  5. Server使用自己的私钥(private key)解密这个消息,得到会话密钥。至此,Client和Server双方都持有了相同的会话密钥
  6. Server使用会话密钥加密“明文内容A”,发送给Client。
  7. Client使用会话密钥解密响应的密文,得到“明文内容A”。
  8. Client再次发起HTTPS的请求,使用会话密钥加密请求的“明文内容B”,然后Server使用会话密钥解密密文,得到“明文内容B”。

搭建https服务

首先确认安装OpenSSL

确定OpenSSL版本:

$openssl version

如果版本低于1.0.1f,建议升级,因为1.0.1f版本之下的OpenSSL有一个Heartbleed漏洞。
安装OpenSSL:

$sudo apt-get install openssl

自建CA

因为向CA申请签名是需要收费的,所以我们选择自己搭建一个CA来完成这个实验过程。
首先建立myCA目录用于存放CA相关信息

cd && mkdir -p myCA/signedcerts && mkdir myCA/private && cd myCA

myCA 用于存放 CA 根证书,证书数据库,以及后续服务器生成的证书,密钥以及请求
signedcerts:保存签名证书的 copy
private: 包含私钥

之后配置myCA相关参数,在myCA目录下进行

echo '01'>serial && touch index.txt

然后创建 caconfig.cnf 文件

vim ~/myCA/caconfig.cnf

caconfig.cnf文件内容如下

# My sample caconfig.cnf file.<div align='center' ><font size='70'>HTTPS 实现</font></div>
#
# Default configuration to use when one is not provided on the command line.
#
[ ca ]
default_ca      = local_ca
#
#
# Default location of directories and files needed to generate certificates.
#
[ local_ca ]
dir             = /home/didi/myCA                    # 这里要将username替换为你的用户名
certificate     = $dir/cacert.pem
database        = $dir/index.txt
new_certs_dir   = $dir/signedcerts
private_key     = $dir/private/cakey.pem
serial          = $dir/serial
#       
#
# Default expiration and encryption policies for certificates.
#
default_crl_days        = 365
default_days            = 1825
default_md              = SHA256
#       
policy          = local_ca_policy
x509_extensions = local_ca_extensions
#       
#
# Default policy to use when generating server certificates.  The following
# fields must be defined in the server certificate.
#
[ local_ca_policy ]
commonName              = supplied
stateOrProvinceName     = supplied
countryName             = supplied
emailAddress            = supplied
organizationName        = supplied
organizationalUnitName  = supplied
#       
#
# x509 extensions to use when generating server certificates.
#
[ local_ca_extensions ]
subjectAltName          = DNS:localhost
basicConstraints        = CA:false
nsCertType              = server
#       
#
# The default root certificate generation policy.
#
[ req ]
default_bits    = 2048
default_keyfile = /home/didi/myCA/private/cakey.pem  # 这里要将username替换为你的用户名
default_md      = SHA256
#       
prompt                  = no
distinguished_name      = root_ca_distinguished_name
x509_extensions         = root_ca_extensions
#
#
# Root Certificate Authority distinguished name.  Change these fields to match
# your local environment!
#
[ root_ca_distinguished_name ]
commonName              = MyOwn Root Certificate Authority # CA机构名
stateOrProvinceName     = BJ                               # CA所在省份
countryName             = CN                               # CA所在国家(仅限2个字符)
emailAddress            = XXXX@XXX.com                     # 邮箱
organizationName        = XXX                              # 
organizationalUnitName  = XXX                              # 
#       
[ root_ca_extensions ]
basicConstraints        = CA:true

生成 CA 根证书和密钥

export OPENSSL_CONF=~/myCA/caconfig.cnf       #该命令用于给环境变量 OPENSSL_CONF 赋值为caconfig.cnf。
openssl req -x509 -newkey rsa:2048 -out cacert.pem -outform PEM -days 1825             # 生成 CA 根证书和密钥

该命令需要用户设置密码。不要忘记。
以上步骤生成了 CA 自签名根证书,和 RSA 公/私密钥对。证书的格式是 PEM,有效期是1825天。

  • /myCA/cacert.pem: CA 根证书
  • /myCA/private/cakey.pem: CA 私钥

创建服务器公私钥

生成服务器配置文件exampleserver.cnf

vim ~/myCA/exampleserver.cnf

exampleserver.cnf文件内容如下

#
# exampleserver.cnf
#

[ req ]
prompt             = no
distinguished_name = server_distinguished_name

[ server_distinguished_name ]
commonName              = localhost          # 服务器域名
stateOrProvinceName     = BJ                 # 服务器所在省份
countryName             = CN                 # 服务器所在国家(仅限2个字符)
emailAddress            = XXXX@XXX.com       # 邮箱
organizationName        = XXX                # 
organizationalUnitName  = XXX                #

生成服务器证书和密钥

export OPENSSL_CONF=~/myCA/exampleserver.cnf   # 该命令设置环境变量 OPENSSL_CONF,使得 openssl 更换配置文件。
openssl req -newkey rsa:1024 -keyout tempkey.pem -keyform PEM -out tempreq.pem -outform PEM

同样的,需要输入密码短语。
之后,有2种对临时秘钥的操作,选择其一即可
1.将临时私钥转换为 unencrypted key,即秘钥不加密状态。

openssl rsa -in tempkey.pem -out server_key.pem

需要输入密码短语。

2.如果希望将 key 保持为加密状态,直接改名

mv tempkey.pem server_key.pem

两者的区别是,第二种需要在服务器启动时输入私钥的密码短语,否则会导致服务器启动失败,但第二种安全性高于第一种,可以更好的保护秘钥。

使用 CA key 对服务器证书签名

export OPENSSL_CONF=~/myCA/caconfig.cnf
openssl ca -in tempkey.pem -out server_crt.pem

这里提示:

Can't open /home/shawn/myCA/index.txt.attr for reading, No such file or directory
140344032040704:error:02001002:system library:fopen:No such file or directory:crypto/bio/bss_file.c:74:fopen('/home/shawn/myCA/index.txt.attr','r')
140344032040704:error:2006D080:BIO routines:BIO_new_file:no such file:crypto/bio/bss_file.c:81:

是Openssl的bug,在myCA目录下再touch一个index.txt.attr即可

删除临时证书和密码文件

rm -f tempkey.pem && rm -f tempreq.pem

现在,自签名的服务器证书和密钥对便产生了:

  • server_crt.pem : 服务器证书文件
  • server_key.pem : 服务器密钥文件

搭建https工程

基于 cpp-httplib搭建工程 , 工程地址 :http-https

  1. server 端代码
#include <httplib.h>
#include <fstream>
#include <iostream>
#include <string>

using namespace std::placeholders;

class TEST
{
   private:
    httplib::Server *m_svr;
    void recvGetHelloHandle(const httplib::Request &req, httplib::Response &res);

   public:
    TEST();
    ~TEST()
    {
        delete m_svr;
    }

    void start(int port)
    {
        m_svr->listen("0.0.0.0", port);
    }
};

TEST::TEST()
{
    m_svr = new httplib::Server;
    httplib::Server::Handler getHello_cb = std::bind(&TEST::recvGetHelloHandle, this, _1, _2);
    m_svr->Get("/hello", getHello_cb);
}

void TEST::recvGetHelloHandle(const httplib::Request &req, httplib::Response &res)
{
    if (!req.has_header("token"))
    {
        res.set_content("fail", "text/plain");
        return;
    }

    std::string token = req.get_header_value("token");
    std::cout << "token : " << token << std::endl;
}

class TESTHTTPS
{
   private:
    httplib::SSLServer *m_svr;
    void recvGetHelloHandle(const httplib::Request &req, httplib::Response &res);

   public:
    TESTHTTPS();
    ~TESTHTTPS()
    {
        delete m_svr;
    }

    void start(int port)
    {
        m_svr->listen("localhost", port);
    }
};

TESTHTTPS::TESTHTTPS()
{
    m_svr = new httplib::SSLServer("./data/server_crt.pem", "./data/server_key.pem");

    httplib::SSLServer::Handler getHello_cb = std::bind(&TESTHTTPS::recvGetHelloHandle, this, _1, _2);
    m_svr->Get("/dd/hello", getHello_cb);
}

void TESTHTTPS::recvGetHelloHandle(const httplib::Request &req, httplib::Response &res)
{
    if (!req.has_header("token"))
    {
        res.set_content("fail", "text/plain");
        return;
    }

    std::string token = req.get_header_value("token");
    std::cout << "token : " << token << std::endl;
}

int main(void)
{
    TESTHTTPS test;
    test.start(8887);
}
  1. client 端代码
#include <httplib.h>
#include <fstream>
#include <iostream>
#include <string>

class TESTHTTP
{
   private:
    httplib::Client *m_cli;

   public:
    TESTHTTP()
    {
        m_cli = new httplib::Client("https://localhost:8887");
    }
    ~TESTHTTP()
    {
        delete m_cli;
    }
c++
    void testGetHello();
};

void TESTHTTP::testGetHello()
{
    httplib::Params params = {{"params", "test"}};
    httplib::Headers headers = {{"version", "0.0.0.1"},
                                {"token", "V66n56XJBD/4LTMsGDqE0dlRPtkVmQ0hlIQNwcBMZkU4bQeDTBlMEUluqnha1g/ZsEMK/0JHKtEBwHH2Ko9iEA=="}};
    auto res = m_cli->Get("/dd/hello", params, headers);
    std::cout << httplib::to_string(res.error()) << std::endl;
    std::cout << res->body << std::endl;
}

class TESTHTTPS
{
   private:
    httplib::Client *m_cli;

   public:
    TESTHTTPS()
    {
        m_cli = new httplib::Client("https://localhost:8887");
        m_cli->set_ca_cert_path("./data/cacert.pem");
        m_cli->enable_server_certificate_verification(true);
    }
    ~TESTHTTPS()
    {
        delete m_cli;
    }

    void testGetHello();
};

void TESTHTTPS::testGetHello()
{
    httplib::Params params = {{"params", "test"}};
    httplib::Headers headers = {{"version", "0.0.0.1"},
                                {"token", "V66n56XJBD/4LTMsGDqE0dlRPtkVmQ0hlIQNwcBMZkU4bQeDTBlMEUluqnha1g/ZsEMK/0JHKtEBwHH2Ko9iEA=="}};
    auto res = m_cli->Get("/dd/hello", params, headers);
    std::cout << httplib::to_string(res.error()) << std::endl;
    std::cout << res->body << std::endl;
}

int main(void)
{
    // TESTHTTP T;
    // T.testPostPush();

    TESTHTTPS T;
    T.testGetHello();
}

参考

信安实践——自建CA证书搭建https服务器
HTTPS工作流程

测试工程

http-https

002237
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
STM32+W5500_HTTPS实现访问.zip
03-31
通过STM32F103单片机和W5500网络芯片,实现建立HTTPS访问服务器,可以使用网页进行浏览,操作配置参数等。 【实例截图】 【核心代码】 出厂默认程序是“HTTP Server NetBIOS 固定IP协议”组合,并内嵌“梦想版”网页页面;而HTTP Server的例程是“HTTP Server NetBIOS DHCP”协议组合,内置常规的网页配置页面。
Https实现方案
08-22
Https实现方案
HTTPS实现步骤(tomcat)
07-18
HTTPS实现步骤(tomcat)......................................................................
HttpLib 集HTTP/HTTPS/JSON于一身的封装库
08-26
现在CSDN太黑,毫无节操,不管什么资源动不动就几十积分,本接口1分下载,只为方便大家 封装只有两个方法,HttpGet和GetJsonField,HttpGet方法支持HTTPHTTPS数据获取,目前仅支持GET方式 方法定义如下 int HttpGet(const char * lpUrl, char * lpBuf) lpUrl 请求URL, lpBUf 请求返回内容, 输出 int GetJsonField(const char* lpJsonStr, const char* lpFieldPath, char * lpFieldValue) lpJsonStr JSON字符串 lpFieldPath JSON字段名称,支持点分路径取值,如取data对象下name字段,可用data.name, data数组下name字段,可用data[0].name lpFieldValue 字段值,输出
Python https
SHELLCODE_8BIT的博客
02-23 410
【代码】Python https
使用openSSL和开源httplib库搭建本地https代理服务器及https客户端
苞米地里捉小鸡的博客
05-21 4697
第一部分原理及环境搭建 参考 httplib库原理 httplib搭建简单服务器与浏览器交互 httplib GitHub 1.0certmgr证书管理工具 该项目本部分需要实现本地客户端与远端服务器进行通信(例如国外网站),那么如果直接进行Socket连接将会非常慢或者撞墙,那么这个时候考虑使用本地客户端先与本地代理服务器进行通信,然后本地客户端每次访问一次URL地址,都需要将证书添加到受信任的根证书颁发机构,不然证书以及私钥对不上服务器将不允许访问。查看证书可以通过cmd命令行certm..
httplib库的使用(支持http/https)(一)
热门推荐
harry49的博客
04-16 3万+
httplib库的使用,支持http/httpshttplib库简介如何使用文件目录client端快速搭建一个client端HTTPS下载文件GET大数据POST大数据上传文件server端的简单使用 httplib库简介 httplib库是一个以C++11特性编写的库,所以编译器也需要能支持C++11的。库在使用时只需包含一个头文件即可,非常方便。 下载地址 注意:此库为线程阻塞,使用时还请注意。 如何使用 文件目录 下载后的包解压后有如下文件 其中httplib.h为库的头文件,使用时只需要将此头文件
使用cpp-httplib 进行HTTPS 对接开发
baoecit的博客
08-04 1354
而这个sessionid是根据登录时候从服务器返回过来的一个cookie我们需要自己保存这个cookie然后之后的每次请求都把这个cookie带上。也没啥https的经验,然后就网上搜了下需要用到openssl 直接把openssl下载下来 编译成so库。大多数都是直接提供的sdk。华为的所有所有的HTTPS接口除了登录的之外 其他的都需要附带一个sessionid。之前所有的关于Web服务的交互都是基于http的 而不是https。然后自己直接写了个socket 设置对应的头 返现Get是可以的。...
Windows C++下使用c++-httplib库与Openssl库搭建https服务器与客户端通讯的保姆教程
qq_41876419的博客
09-05 1799
实现一个c++的https客户端请求https服务器是实现数据通信。基于已封装好的c++ -httplib库搭建SSL/TLS环境实现
httplib库的安装以及使用
sjp11的博客
11-29 5551
httplib 库,一个 C++11 单文件头的跨平台 HTTP/HTTPS 库。 httplib 库实际上是用于搭建一个简单的 http 服务器或者客户端的库,这种第三方网络库,可以让我们免去搭建服 务器或客户端的时间,把更多的精力投入到具体的业务处理中,提高开发效率。
C语言实现https客户端
09-04
C语言实现opensslhttps客户端post方法使用,可以传入json字符串的格式,测试的例子,可以使用
linux c++实现https
04-19
linux c实现简单的https获取百度一下("www.baidu.com"), 忽略证书。 linux下编译: g++ https.cpp -lssl -lcrypto
golang语言在使用httplib包中遇到的关于自建证书的问题及解决方案
最新发布
dg1011的博客
02-25 934
2. httplib包调用 调用ge方法 调用post方法 3. 遇到的问题 x509: cannot validate certificate for xxx because it doesn’t contain any IP SANs 原因:通过IP访问服务器,会检查证书的SAN,SAN不通过导致的问题(我的理解是如果通过域名访问就不会有这个问题的) 解决方案: x509: certificate signed by unknown authority 原因:你的客户端无法验证服务
python搭建简单的web服务器
weixin_33711647的博客
05-29 118
由于要做自动化和性能测试,工作中需要有一个能够控制返回消息数据的web服务器,所以用python初步实现了一个简单的web服务器,能够处理HTTP的请求(GET,POST,PUT),并完成响应。先简单说明下原理,python中实现web服务器大概分两个步骤: 1. 创建一个套接字,绑定到指定的IP和端口,保持监听 2. 创建一个handle类,当收到请求消息时,作出响应 ...
C++ httplib Get请求代码
q742971636的博客
01-10 917
如果请求“https://fanyi.baidu.com/api/trans?
原来C++调用HTTP API接口也能这么优雅
weixin_40603938的博客
07-25 3845
原来C++调用HTTP API接口也能这么优雅 动机 ​ 在开发C++程序时,难免会遇到与其他语言/系统对接的情况。百度谷歌搜了一下,发现star最高的cpp-httplib。试了一下,真香!关键这个库还是header only 引用的,这个超级Nice!!从此以后再也不担心跨语言对接了(手动滑稽)。 本文仅作抛砖引玉~ 一:cpp-httplib简介 一个header-only且跨平台的C++ HTTP/HTTPS库 只需将***httplib.h***包含到你的工程中即可完成配置(header-onl
HttpLib使用
GIS探索之路
09-26 2336
cpp-httplib使用 https://codechina.csdn.net/mrbaolong/cpp-httplib.git 如何使用httplib 发送GET请求,同时设置请求参数和Headers,并同时打印请求数据的进度。 client.Get( "/api/Model/GetAllElementsInView", //请求API params ,//请求参数 headers,//设置请求头 [&](const httplib::Response& response) {},/
【2022工作】【httplib工作记录】【使用curl Post 上传文件】
pejay23的博客
01-12 234
【libcurl C++ post 上传文件】
读书笔记:嵌入式常用算法_note_1
碧海潮生
02-25 3357
目录 折线插值 抛物线插值 折线插值 #include&lt;stdio.h&gt; #define N 10 //折线由10段线段组成(即有11个插值节点) float w=10.0; //插值节点间隔为10.0℃ (即 w=y1-y0=10.0) float w0=0.0; //起点温度为0.0℃ float wn=100.0; //终点温度为100.0℃ int a...
fastapi https实现
03-11
FastAPI 可以通过使用 Python 的标准库中的 ssl 模块来实现 HTTPS。具体步骤如下: 1. 生成 SSL 证书和密钥文件,可以使用 OpenSSL 工具生成,也可以购买证书。 2. 在 FastAPI 中使用 ssl 模块加载证书和密钥文件,例如: ```python import ssl from fastapi import FastAPI app = FastAPI() context = ssl.create_default_context(purpose=ssl.Purpose.CLIENT_AUTH) context.load_cert_chain(certfile="path/to/cert.pem", keyfile="path/to/key.pem") @app.get("/") async def root(): return {"message": "Hello World"} ``` 这样就可以在 FastAPI 中实现 HTTPS 了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

002237

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值