ESP8266 SSL编程 Server&client进行证书双向认证

最新推荐文章于 2023-12-02 18:37:50 发布
最新推荐文章于 2023-12-02 18:37:50 发布
阅读量2.8k 收藏 5
点赞数
分类专栏: 嵌入式 文章标签: ESP8266
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013550000/article/details/90375706
版权
本文介绍了如何在ESP8266上进行SSL编程,实现客户端和服务器之间的证书双向认证。首先,通过脚本生成必要的证书和密钥,然后在ESP8266的client和server端应用这些证书。示例代码可以在Espressif的SDK中找到,确保设备在同一网段,并配置正确的端口和SSL选项。经过配置和运行,client和server端均能成功建立安全连接。
摘要由CSDN通过智能技术生成

关于数字证书、数字签名、私钥、公钥等基本概念都可自行百度解决。

SSL-TLS工作原理中双向认证、单向认证参阅https://blog.csdn.net/espressif/article/details/78541410

https://blog.csdn.net/espressif/article/details/79603831

(1)生成证书
本文在client, server端的证书使用脚gencrt.sh (如下)

#!/bin/bash

#
# Generate the certificates and keys for testing.
#

SAVEIFS=$IFS
IFS=$(echo -en "\n\b")

ROOT_SUBJECT="/C=C1/ST=JS1/L=WX1/O=ESP1/OU=ESP1/CN=Server1 CA/emailAddress=ESP1"
LEVEL2_SUBJECT="/C=C2/ST=JS22/L=WX22/O=ESP22/OU=ESP22/CN=Server22 CA/emailAddress=ESP22"
LEVEL3_SUBJECT="/C=C3/ST=JS333/L=WX333/O=ESP333/OU=ESP333/CN=Server333 CA/emailAddress=ESP333"

# private key generation
openssl genrsa -out ca.key 2048
openssl genrsa -out server.key 2048
openssl genrsa -out client.key 2048

# cert requests
openssl req -new -key ca.key -out ca.csr -text -subj $ROOT_SUBJECT
openssl req -new -key server.key -out server.csr -text -subj $LEVEL2_SUBJECT
openssl req -new -key client.key -out client.csr -text -subj $LEVEL3_SUBJECT

# generate the actual certs.
openssl x509 -req -in ca.csr -out ca.pem -sha256 -days 5000 -signkey ca.key -text -extensions v3_ca
openssl x509 -req -in server.csr -out server.pem -sha256 -CAcreateserial -days 5000 -CA ca.pem -CAkey ca.key -text -extensions v3_ca
openssl x509 -req -in client.csr -out client.pem -sha256 -CAcreateserial -days 5000 -CA ca.pem -CAkey ca.key -text -extensions v3_ca

rm *.csr
rm *.srl

mv ca.* ./main
mv server.* ./main
mv client.* ./main

将生成的证书分别放在client,server目录下。
(2)用8266 openssl_client_demo和open_server_demo直接实现。
client端https://github.com/espressif/ESP8266_RTOS_SDK/tree/master/examples/protocols/openssl_client

/* openSSL client example

   This example code is in the Public Domain (or CC0 licensed, at your option.)

   Unless required by applicable law or agreed to in writing, this
   software is distributed on an "AS IS" BASIS, WITHOUT WARRANTIES OR
   CONDITIONS OF ANY KIND, either express or implied.
*/

#include <string.h>
#include <strings.h>

#include "esp_system.h"
#include "esp_wifi.h"
#include "esp_event_loop.h"
#include "esp_log.h"
#include "nvs_flash.h"

#include "freertos/FreeRTOS.h"
#include "freertos/task.h"
#include "freertos/event_groups.h"

#include <sys/socket.h>
#include <netdb.h>

#if CONFIG_SSL_USING_WOLFSSL
#include "lwip/apps/sntp.h"
#endif

#include "openssl/ssl.h"

/* The examples use simple WiFi configuration that you can set via
   'make menuconfig'.

   If you'd rather not, just change the below entries to strings with
   the config you want - ie #define EXAMPLE_WIFI_SSID "mywifissid"
*/
#define EXAMPLE_WIFI_SSID CONFIG_WIFI_SSID
#define EXAMPLE_WIFI_PASS CONFIG_WIFI_PASSWORD

/* FreeRTOS event group to signal when we are connected & ready to make a request */
static EventGroupHandle_t wifi_event_group;

static const char *TAG = "example";

/* The event group allows multiple bits for each event,
   but we only care about one event - are we connected
   to the AP with an IP? */
const int CONNECTED_BIT = BIT0;

extern const uint8_t ca_pem_start[] asm("_binary_ca_pem_start");
extern const uint8_t ca_pem_end[]   asm("_binary_ca_pem_end");
extern const uint8_t client_pem_start[] asm("_binary_client_pem_start");
extern const uint8_t client_pem_end[]   asm("_binary_client_pem_end");
extern const uint8_t client_key_start[] asm("_binary_client_key_start");
extern const uint8_t client_key_end[]   asm("_binary_client_key_end");

/*
Fragment size range 2048~8192
| Private key len | Fragment size recommend |
| RSA2048         | 2048                    |
| RSA3072         | 3072                    |
| RSA4096         | 4096                    |
*/
#define OPENSSL_CLIENT_FRAGMENT_SIZE 2048

/* Local tcp port */
#define OPENSSL_CLIENT_LOCAL_TCP_PORT 443

#define OPENSSL_CLIENT_REQUEST "{\"path\": \"/v1/ping/\", \"method\": \"GET\"}\r\n"
//#define OPENSSL_CLIENT_REQUEST "GET / HTTP/1.1\r\n\r\n"

/* receive length */
#define OPENSSL_CLIENT_RECV_BUF_LEN 1024

static char send_data[] = OPENSSL_CLIENT_REQUEST;
static int send_bytes = sizeof(send_data);

static char recv_buf[OPENSSL_CLIENT_RECV_BUF_LEN];

static esp_err_t event_handler(void *ctx, system_event_t *event)
{
    switch(event->event_id) {
    case SYSTEM_EVENT_STA_START:
        esp_wifi_connect();
        break;
    case SYSTEM_EVENT_STA_GOT_IP:
        xEventGroupSetBits(wifi_event_group, CONNECTED_BIT);
        break;
    case SYSTEM_EVENT_STA_DISCONNECTED:
        /* This is a workaround as ESP32 WiFi libs don't currently
           auto-reassociate. */
        esp_wifi_connect();
        xEventGroupClearBits(wifi_event_group, CONNECTED_BIT);
        break;
    default:
        break;
    }
    return ESP_OK;
}

static void initialise_wifi(void)
{
    tcpip_adapter_init();
    wifi_event_group = xEventGroupCreate();
    ESP_ERROR_CHECK( esp_event_loop_init(event_handler, NULL) );
    wifi_init_config_t cfg = WIFI_INIT_CONFIG_DEFAULT();
    ESP_ERROR_CHECK( esp_wifi_init(&cfg) );
    ESP_ERROR_CHECK( esp_wifi_set_storage(WIFI_STORAGE_RAM) );
    wifi_config_t wifi_config = {
        .sta = {
            .ssid = EXAMPLE_WIFI_SSID,
            .password = EXAMPLE_WIFI_PASS,
        },
    };
    ESP_LOGI(TAG, "Setting WiFi configuration SSID %s...", wifi_config.sta.ssid);
    ESP_ERROR_CHECK( esp_wifi_set_mode(WIFI_MODE_STA) );
    ESP_ERROR_CHECK( esp_wifi_set_config(ESP_IF_WIFI_STA, &wifi_config) );
    ESP_ERROR_CHECK( esp_wifi_start() );
}

#if CONFIG_SSL_USING_WOLFSSL
static void get_time()
{
    struct timeval now;
    int sntp_retry_cnt = 0;
    int sntp_retry_time = 0;

    sntp_setoperatingmode(0);
    sntp_setservername(0, "pool.ntp.org");
    sntp_init();

    while (1) {
        for (int32_t i = 0; (i < (SNTP_RECV_TIMEOUT / 100)) && now.tv_sec < 1525952900; i++) {
            vTaskDelay(100 / portTICK_RATE_MS);
            gettimeofday(&now, NULL);
        }

        if (now.tv_sec < 1525952900) {
            sntp_retry_time = SNTP_RECV_TIMEOUT << sntp_retry_cnt;

            if (SNTP_RECV_TIMEOUT << (sntp_retry_cnt + 1) < SNTP_RETRY_TIMEOUT_MAX) {
                sntp_retry_cnt ++;
            }

            printf("SNTP get time failed, retry after %d ms\n", sntp_retry_time);
            vTaskDelay(sntp_retry_time / portTICK_RATE_MS);
        } else {
            printf("SNTP get time success\n");
            break;
        }
    }
}
#endif

static void openssl_client_task(void* p)
{
    int ret;

    SSL_CTX* ctx;
    SSL* ssl;

    int socket;
    struct sockaddr_in sock_addr;
    struct hostent* entry = NULL;
    int recv_bytes = 0;

       /* Wait for WiFI to show as connected */
    xEventGroupWaitBits(wifi_event_group, CONNECTED_BIT,
                        false, true, portMAX_DELAY);

    printf("OpenSSL client thread start...\n");

#if CONFIG_SSL_USING_WOLFSSL
    /* CA date verification need system time */
    get_time();
#endif

    /*get addr info for hostname*/
    do {
        entry = gethostbyname(CONFIG_TARGET_DOMAIN);
        vTaskDelay(100 / portTICK_RATE_MS);
    } while (entry == NULL);
    
    printf("create SSL context ......");
    ctx = SSL_CTX_new(TLSv1_2_client_method());

    if (!ctx) {
        printf("failed\n");
        goto failed1;
    }

    printf("OK\n");

    printf("load ca crt ......");
    ret = SSL_CTX_load_verify_buffer(ctx, ca_pem_start, ca_pem_end - ca_pem_start);

    if (ret) {
        printf("OK\n");
    } else {
        printf("failed\n");
        goto failed2;
    }

    printf("load client crt ......");
    ret = SSL_CTX_use_certificate_ASN1(ctx, client_pem_end - client_pem_start, client_pem_start);

    if (ret) {
        printf("OK\n");
    } else {
        printf("failed\n");
        goto failed2;
    }

    printf("load client private key ......");
    ret = SSL_CTX_use_PrivateKey_ASN1(0, ctx, client_key_start, client_key_end - client_key_start);

    if (ret) {
        printf("OK\n");
    } else {
        printf("failed\n");
        goto failed2;
    }

    printf("set verify mode verify peer\n");
    SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);

    printf("create socket ......");
    socket = socket(AF_INET, SOCK_STREAM, 0);

    if (socket < 0) {
        printf("failed\n");
        goto failed3;
    }

    printf("OK\n");

    printf("bind socket ......");
    memset(&sock_addr, 0, sizeof(sock_addr));
    sock_addr.sin_family = AF_INET;
    sock_addr.sin_addr.s_addr = 0;
    sock_addr.sin_port = htons(OPENSSL_CLIENT_LOCAL_TCP_PORT);
    
    ret = bind(socket, (struct sockaddr*)&sock_addr, sizeof(sock_addr));

    if (ret) {
        printf("failed\n");
        goto failed4;
    }

    printf("OK\n");

    printf("socket connect to remote ......");
    memset(&sock_addr, 0, sizeof(sock_addr));
    sock_addr.sin_family = AF_INET;
    // sock_addr.sin_addr.s_addr =inet_addr(CONFIG_TARGET_DOMAIN);
    sock_addr.sin_addr.s_addr = ((struct in_addr*)(entry->h_addr))->s_addr;
    // sock_addr.sin_port = htons(CONFIG_TARGET_PORT_NUMBER);
    sock_addr.sin_port = htons(443);
    ret = connect(socket, (struct sockaddr*)&sock_addr, sizeof(sock_addr));

    if (ret) {
        printf("failed\n");
        goto failed5;
    }

    printf("OK\n");

    printf("create SSL ......");
    ssl = SSL_new(ctx);

    if (!ssl) {
        printf("failed\n");
        goto failed6;
    }

    printf("OK\n");

    SSL_set_fd(ssl, socket);

    printf("SSL connected to %s port %d ......", CONFIG_TARGET_DOMAIN, CONFIG_TARGET_PORT_NUMBER);
    ret = SSL_connect(ssl);

    if (ret <= 0) {
        printf("failed, return [-0x%x]\n", -ret);
        goto failed7;
    }

    printf("OK\n");

    printf("send request to %s port %d ......", CONFIG_TARGET_DOMAIN, CONFIG_TARGET_PORT_NUMBER);
    ret = SSL_write(ssl, send_data, send_bytes);

    if (ret <= 0) {
        printf("failed, return [-0x%x]\n", -ret);
        goto failed8;
    }

    printf("OK\n\n");

    do {
        ret = SSL_read(ssl, recv_buf, OPENSSL_CLIENT_RECV_BUF_LEN - 1);

        if (ret <= 0) {
            break;
        }

        recv_bytes += ret;
        recv_buf[ret] = '\0';
        printf("%s", recv_buf);
    } while (1);

    printf("read %d bytes data from %s ......\n", recv_bytes, CONFIG_TARGET_DOMAIN);

failed8:
    SSL_shutdown(ssl);
failed7:
    SSL_free(ssl);
failed6:
failed5:
failed4:
    close(socket);
failed3:
failed2:
    SSL_CTX_free(ctx);
failed1:
    vTaskDelete(NULL);

    printf("task exit\n");

    return
最低0.47元/天 解锁文章
甲虫ss
关注
专栏目录
ESP8266-Arduino网络编程实例-SSL-Web服务器
视觉与物联智能
10-11 789
若要保护 Web 服务器,可以使用传输层安全 (TLS)(以前称为安全套接字层 (SSL))证书来加密 Web 流量。本文将介绍如何创建Web SSL服务器。
【ESP 保姆级教程】玩转emqx SSL篇① ——认证证书 SSL
单片机菜鸟哥的博客
02-04 659
数据安全是一个大的课题,远远不止这些,本篇主要是通过emqx ssl来简单学习一下数据加密传输的一些知识,并且带领大家创建自己的证书并应用到esp模块上。
SSL-TLS 双向认证ESP8266 与 mosquitto 的 MQTT 双向认证
乐鑫 Espressif
11-15 4164
你将看到我们在ESP8266上[一款非常优秀的WiFi/BLE物联网芯片],如何完美的实现嵌入式设备和云端/服务器的安全交互。我们介绍了这款优秀的芯片以及它官网上通俗的入门指南,介绍了开发环境的搭建以及较完善的 MQTT demo,详细描述了编译/烧录/证书制作等相关知识。也描述了 MQTT broker 环境的搭建,并最终展示了成功交互的demo。同时提供了一些可能遇到的错误和解决办法。
SSL/TLS 双向认证(三) -- ESP8266与mosquitto的MQTT双向认证
热门推荐
ustccw
08-09 1万+
ESP8266与mosquitto的MQTT双向认证
nginx反向代理cas-server之2:生成证书,centOS下使用openssl生成CA证书(根证书server证书client证书)...
weixin_30603633的博客
04-29 231
前些天搭好了cas系统,这几天一致再搞nginx和cas的反向代理,一直不成功,但是走http还是测试通过的,最终确定是ssl认证证书这一块的问题,原本我在cas服务端里的tomcat已经配置了证书,并且能够使用了,但是现在我用nginx代理使用ssl与cas-server建立连接,就会失败(看了网上的大神(是不是真的大神先不管)说是nginx不支持与后台的加密连接的原因)。那么既然我ng...
5-STM32物联网开发WIFI(ESP8266)+GPRS(Air202)系统方案安全篇(配置MQTT的SSL证书,验证安全通信)...
weixin_30491641的博客
05-30 342
4-STM32物联网开发WIFI(ESP8266)+GPRS(Air202)系统方案安全篇(为域名申请SSl证书) 前面的准备工作终于完了 复制这两个证书 放到云端MQTT的这个位置,其实放哪里都可以,只要知道路径就可以 记得重新启动一下MQTT 现在做测试,先做一个上位机测试 说一下哎,以前的篇章都是用的MQ...
6-STM32物联网开发WIFI(ESP8266)+GPRS(Air202)系统方案安全篇(Wi-Fi模块SSL连接MQTT)
weixin_30809333的博客
05-30 293
5-STM32物联网开发WIFI(ESP8266)+GPRS(Air202)系统方案安全篇(配置MQTT的SSL证书,验证安全通信) 首先确定自己的固件打开了SSL,升级篇里面的固件我打开了SSL,如果自己下载的是这个固件SSL就打开了 如果自己的固件没有打开SSL,可以自己编译 编译参考 6-STM32物联网开发WIFI+GPRS基础篇(编译lua固件N...
基于STM32设计的智慧农业管理系统(ESP8266+腾讯云微信小程序)
10-19 5933
当前设计的智慧农业管理系统采用STM32F103RCT6作为核心处理器,实现了空气温湿度、光照度的实时采集和控制电机抽水灌溉的功能。通过物联网技术,将采集数据上传至腾讯云物联网平台,并推送到微信小程序上实时查看,方便用户随时了解农业生产情况。
【ESP 保姆级教程】玩转emqx认证篇① ——控制客户端连接,认证安全
单片机菜鸟哥的博客
01-15 1885
EMQX 支持最简单也是最流行的密码认证,这种认证方式要求客户端提供能够表明身份的凭据,例如`用户名(username)、密码(password)或者客户端标识符(clientid)`。在某些场景下,用户可能会选择将 TLS 证书中的一些字段(例如证书通用名称)作为客户端的身份凭据使用。但不管怎样,这些身份凭据都会`提前存储到数据库`中,其中密码通常都会以`加盐后散列`的形式存储(这也是我们强烈建议的方式)。
ESP8266 MQTT SSL/TLS 阿里物联网套件 百度天工 Onenet等MQTT服务器(注意:是固件)
12-13
(注意:是固件) ESP8266 MQTT SSL/TLS 支持连接阿里物联网套件,百度天工,Onenet等MQTT服务器,支持SSL通信
esp8266 发起https 请求
02-20
esp8266 发起https 请求,请求 https 的api 等等,整个项目工程
基于C语言从0开始手撸MQTT协议代码连接标准的MQTT服务器,完成数据上传和命令下发响应(华为云IOT服务器)
最新发布
12-02 2万+
本篇文章给大家讲解使用C语言从0开始手撸MQTT协议3.1.1(1883端口)代码,连接华为云服务器,完成数据上传,下发的命令响应。完整讲解MQTT协议整体的通信流程。,利用VS2022开发程序,使用windows下网络编程接口作为基础,封装MQTT协议连接华为云MQTT服务器,完成数据上云。
ESP8266-SSL MQTT 双向认证开发记录
可可芯意的博客
02-01 889
一、记录 使用最新的RTOS-SDK,esp-mqtt 例程地址:ESP8266_RTOS_SDK\examples\protocols\mqtt\ssl_mutual_auth 这里所谓双向验证,其实只需要用户的PEM和KEY就行了 这里PEM可以是CRT格式,一样的 注意: 不需要加服务器的CA,这个没用 官方demo常常返回0x50错误,是 验证hello时出错,多连几次就行,如果是其他的国内服务器,应该不会有这个问题 若要单向认证,参考ESP8266_RTOS_SDK\examples\
ESP8266 RTOS 下 Openssl 证书及使用和 Fragment 介绍
乐鑫 Espressif
03-18 3403
1 简介 本文主要介绍基于 ESP8266_RTOS_SDK 的 SSL 加密使用方法,将分别介绍 ESP8266 作为 SSL clientSSL server 的使用方法。 SSL 功能需要占用大量内存,请开发者在上层应用程序确保内存足够。在将 SSL fragment 设置为 8KB 以及证书用 private key RSA2048 的情况下, SSL 双向认证功能需要 30KB...
ESP8266 通过串口AT指令建立SSL连接步骤
10-16 1657
适用于基于ESP8266的所有官方AT指令固件的模块,比如ESP-12S/ESP-07S/ESP-01S等等 步骤如下: 1.检验模块正常工作 AT OK 2.设置工作模式为STA AT+CWMODE_DEF=1 OK 3.配置wifi网络 AT+CWJAP_DEF="ssid","password" WIFI CONNECTED WIFI GOT IP OK 4.设置SSL buffer 大小(很多人因为没有设置这一项导致SSL连接错误) AT+CIPSSLSIZE=4096 OK ...
esp8266与mosquitto的mqtt的ssl通讯实现(一)
樟榆枫的博客
12-29 7422
esp8266与mosquitto进行mqtt的ssl加密通讯过程之艰辛,资料程序都没有完整的,问题也很多,好在有CSDN,GitHub,Google等等,大家技术分享和技术问答,所以打算将过程写出来,中间很多问题解决了中间过程没有记下来,以后会经常写博客贴出来,一些源代码也会放到Github上大家参考。 具有参考价值代码,博客也会贴出来,一点点更新吧。 目前基本实现了 设备端-服务器-客户
esp8266 ssl连接报错
zakigo的博客
11-07 1356
串口问题日志: connect to xx.xx.xx.xx:443 rc=0 client handshake start. client handshake failed Error: invalid protocol message 原因: SSL连接需要很大buffer,需要增加buffer 解决方案: 在connect前面添加espconn_secure_set_size(0x01, 4...
WIFI模块ESP8266之AT指令TCP通讯实现HTTP及SSL请求
Suroy
02-02 1881
之所以写这篇文章,是记录一下使用ESP8266实现HTTP请求的完整过程,网上教程实在太少了而且不详细,出问题都不好找,估计诸位都转 MQTT 去了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值