openssl TLS 单向认证

最新推荐文章于 2024-09-06 17:01:52 发布
最新推荐文章于 2024-09-06 17:01:52 发布
阅读量960 收藏 18
点赞数 13
文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wc_12345654321/article/details/141406334
版权

下面是一个简单的 C 语言程序示例,它展示了如何使用 OpenSSL 来实现基于 TLS 的加密 TCP 通信。这个程序包括一个服务器和一个客户端,它们通过 TLS 加密的 TCP 连接进行通信。

步骤概览
初始化 OpenSSL 库。
创建 SSL 上下文(SSL_CTX)。
在服务器端,加载服务器证书和私钥;在客户端,加载 CA 证书。
使用 SSL 套接字进行加密通信。
服务器端代码
c
复制代码
#include <openssl/ssl.h>
#include <openssl/err.h>
#include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <arpa/inet.h>

#define PORT 4444
#define CERT_FILE “server.crt”
#define KEY_FILE “server.key”

void handle_client(SSL *ssl) {
char buf[1024];
int bytes;

// 接收数据
bytes = SSL_read(ssl, buf, sizeof(buf));
if (bytes > 0) {
    buf[bytes] = 0;
    printf("Client message: %s\n", buf);
    
    // 发送数据
    SSL_write(ssl, "Hello from server", strlen("Hello from server"));
} else {
    ERR_print_errors_fp(stderr);
}

// 关闭 SSL 连接
SSL_shutdown(ssl);
SSL_free(ssl);

}

int main() {
SSL_CTX *ctx;
SSL *ssl;
int server_fd, client_fd;
struct sockaddr_in addr;

// 初始化 OpenSSL
SSL_load_error_strings();
OpenSSL_add_ssl_algorithms();

// 创建 SSL 上下文
ctx = SSL_CTX_new(TLS_server_method());
if (!ctx) {
    perror("Unable to create SSL context");
    ERR_print_errors_fp(stderr);
    exit(EXIT_FAILURE);
}

// 加载服务器证书和私钥
if (SSL_CTX_use_certificate_file(ctx, CERT_FILE, SSL_FILETYPE_PEM) <= 0) {
    ERR_print_errors_fp(stderr);
    exit(EXIT_FAILURE);
}

if (SSL_CTX_use_PrivateKey_file(ctx, KEY_FILE, SSL_FILETYPE_PEM) <= 0 ) {
    ERR_print_errors_fp(stderr);
    exit(EXIT_FAILURE);
}

// 创建服务器 socket
server_fd = socket(AF_INET, SOCK_STREAM, 0);
if (server_fd < 0) {
    perror("Unable to create server socket");
    exit(EXIT_FAILURE);
}

addr.sin_family = AF_INET;
addr.sin_port = htons(PORT);
addr.sin_addr.s_addr = INADDR_ANY;

if (bind(server_fd, (struct sockaddr*)&addr, sizeof(addr)) < 0) {
    perror("Unable to bind server socket");
    exit(EXIT_FAILURE);
}

if (listen(server_fd, 1) < 0) {
    perror("Unable to listen on server socket");
    exit(EXIT_FAILURE);
}

printf("Server is listening on port %d...\n", PORT);

// 接受客户端连接
client_fd = accept(server_fd, NULL, NULL);
if (client_fd < 0) {
    perror("Unable to accept client connection");
    exit(EXIT_FAILURE);
}

// 为连接创建 SSL 对象
ssl = SSL_new(ctx);
SSL_set_fd(ssl, client_fd);

// 执行 TLS/SSL 握手
if (SSL_accept(ssl) <= 0) {
    ERR_print_errors_fp(stderr);
} else {
    handle_client(ssl);
}

close(client_fd);
close(server_fd);
SSL_CTX_free(ctx);
EVP_cleanup();

return 0;

}
客户端代码
c
复制代码
#include <openssl/ssl.h>
#include <openssl/err.h>
#include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <arpa/inet.h>

#define PORT 4444
#define SERVER_IP “127.0.0.1”
#define CA_CERT_FILE “ca.crt”

void communicate_with_server(SSL *ssl) {
char buf[1024];
int bytes;

// 发送数据
SSL_write(ssl, "Hello from client", strlen("Hello from client"));

// 接收数据
bytes = SSL_read(ssl, buf, sizeof(buf));
if (bytes > 0) {
    buf[bytes] = 0;
    printf("Server message: %s\n", buf);
} else {
    ERR_print_errors_fp(stderr);
}

}

int main() {
SSL_CTX *ctx;
SSL *ssl;
int server_fd;
struct sockaddr_in addr;

// 初始化 OpenSSL
SSL_load_error_strings();
OpenSSL_add_ssl_algorithms();

// 创建 SSL 上下文
ctx = SSL_CTX_new(TLS_client_method());
if (!ctx) {
    perror("Unable to create SSL context");
    ERR_print_errors_fp(stderr);
    exit(EXIT_FAILURE);
}

// 加载 CA 证书
if (!SSL_CTX_load_verify_locations(ctx, CA_CERT_FILE, NULL)) {
    ERR_print_errors_fp(stderr);
    exit(EXIT_FAILURE);
}

// 创建客户端 socket
server_fd = socket(AF_INET, SOCK_STREAM, 0);
if (server_fd < 0) {
    perror("Unable to create client socket");
    exit(EXIT_FAILURE);
}

addr.sin_family = AF_INET;
addr.sin_port = htons(PORT);
inet_pton(AF_INET, SERVER_IP, &addr.sin_addr);

if (connect(server_fd, (struct sockaddr*)&addr, sizeof(addr)) < 0) {
    perror("Unable to connect to server");
    exit(EXIT_FAILURE);
}

// 为连接创建 SSL 对象
ssl = SSL_new(ctx);
SSL_set_fd(ssl, server_fd);

// 执行 TLS/SSL 握手
if (SSL_connect(ssl) <= 0) {
    ERR_print_errors_fp(stderr);
} else {
    communicate_with_server(ssl);
}

// 关闭 SSL 连接
SSL_shutdown(ssl);
SSL_free(ssl);
close(server_fd);
SSL_CTX_free(ctx);
EVP_cleanup();

return 0;

}
运行步骤
生成证书和密钥:

生成 CA 证书和密钥。
生成服务器证书和密钥,并使用 CA 证书对其签名。
将 CA 证书分发给客户端以进行验证。
例如,可以使用 OpenSSL 命令生成这些文件:

bash
复制代码
openssl genpkey -algorithm RSA -out ca.key
openssl req -x509 -new -nodes -key ca.key -sha256 -days 365 -out ca.crt
openssl genpkey -algorithm RSA -out server.key
openssl req -new -key server.key -out server.csr
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365 -sha256
编译:

使用编译器编译服务器和客户端代码,并确保链接 OpenSSL 库:
bash
复制代码
gcc -o server server.c -lssl -lcrypto
gcc -o client client.c -lssl -lcrypto
运行:

启动服务器程序:
bash
复制代码
./server
启动客户端程序:
bash
复制代码
./client
说明
服务器端会加载自己的证书和私钥,并等待客户端连接。
客户端会连接到服务器,并验证服务器的证书。
双方通过 SSL/TLS 进行加密通信。
这个简单的例子展示了如何使用 OpenSSL 在 C 语言中实现基于 TLS 的安全通信。实际应用中,可能需要更多的错误处理和其他安全措施。

上面代码中“执行 TLS/SSL 握手”具体是怎么样的?
ChatGPT
在上面的代码中,“执行 TLS/SSL 握手”是通过调用 SSL_connect(客户端)和 SSL_accept(服务器端)函数来完成的。TLS/SSL 握手的主要目的是在客户端和服务器之间建立一个安全的加密通信通道。具体来说,握手过程包括以下几个步骤:

  1. 客户端发起握手请求
    客户端通过 SSL_connect 函数发起握手请求。这个函数会执行以下操作:

生成随机数:客户端生成一个随机数,用于后续的密钥生成。
发送客户端问候消息(ClientHello):客户端发送一个包含加密套件列表、SSL/TLS 版本号、随机数等信息的消息给服务器。
2. 服务器响应客户端
服务器通过 SSL_accept 函数响应客户端的握手请求,执行以下操作:

选择加密套件:服务器从客户端提供的加密套件列表中选择一个双方都支持的加密套件。
生成随机数:服务器生成另一个随机数。
发送服务器问候消息(ServerHello):服务器将选定的加密套件、自己的随机数、证书等信息发送给客户端。
发送证书:服务器会将自己的公钥证书发送给客户端,以便客户端验证服务器的身份。
3. 客户端验证服务器证书
客户端收到服务器的证书后,会进行以下操作:

验证证书:客户端使用预先加载的 CA 证书来验证服务器证书的有效性。如果验证失败,握手将中止。
生成预主密钥(Pre-Master Secret):客户端生成一个预主密钥,并用服务器的公钥加密,然后发送给服务器。
4. 服务器和客户端生成会话密钥
服务器解密预主密钥:服务器使用自己的私钥解密预主密钥。
生成会话密钥:客户端和服务器各自使用之前的随机数和预主密钥,生成对称会话密钥。这个密钥将用于加密后续的通信数据。
5. 完成握手
交换Finished消息:客户端和服务器交换一个“Finished”消息,用以确认握手阶段的所有数据都已成功传递且未被篡改。
开始加密通信:握手完成后,客户端和服务器就可以使用对称会话密钥进行加密通信了。
握手过程中的函数调用
在代码中,客户端和服务器的握手分别通过以下函数调用实现:

客户端:SSL_connect(ssl):客户端通过此函数与服务器进行握手。这一步将触发上述的 ClientHello 消息发送,接收服务器的 ServerHello 消息,并完成密钥交换。

服务器:SSL_accept(ssl):服务器通过此函数接受客户端的握手请求,并返回服务器的证书和其他必要信息,最终完成握手。

握手过程的图解
plaintext
复制代码
Client Server
| |
| ClientHello |
|----------------------------->|
| |
| ServerHello |
|<-----------------------------|
| |
| Server Certificate |
|<-----------------------------|
| |
| Client Key Exchange |
|----------------------------->|
| |
| |
|<---- ChangeCipherSpec --------|
| Finished |
| |
| |
| ChangeCipherSpec |
|<------------------------------|
| Finished |
| |
|— Encrypted Application Data -->
|<— Encrypted Application Data–|
| |
结论
“执行 TLS/SSL 握手”涉及一系列复杂的消息交换和加密操作,以确保双方能够在一个安全的、加密的通道上进行通信。在握手期间,双方会验证彼此的身份,协商加密方式,并生成用于加密通信的对称密钥。

spring*-*
关注
c语言 tls单向认证 验证证书,使用wireshark观察SSL/TLS握手过程--双向认证/单向认证...
weixin_29187895的博客
05-24 1115
SSL/TLS握手过程可以分成两种类型:1)SSL/TLS 双向认证,就是双方都会互相认证,也就是两者之间将会交换证书。2)SSL/TLS 单向认证,客户端会认证服务器端身份,而服务器端不会去对客户端身份进行验证。我们知道,握手过程实际上就是通信双方协商交换一个用于对称加密的密钥的过程,而且握手过程是明文的。这个过程实际上产生三个随机数:client random, server random, ...
OpenSSL单向与双向认证通信
go_home_look的博客
07-10 2867
C/S中单向认证大致流程 C/S中双向认证大致流程 使用命令生成各自的私钥和证书 客户端: openssl req -newkey rsa:512 -nodes -keyout client.key -x509 -days 5 -out client.crt 服务器端: openssl req -newkey rsa:512 -nodes -keyout server.key -x509 -days 5 -out server.crt 测试一下: google@ubuntu1404:~/work
SSL单双向认证
无奇不有 不置可否的博客
01-13 2084
本文旨在介绍SSL单双向认证相关知识,包括TLS协议,单双向流程等等。
SSL/TLS单向认证和双向认证介绍
热门推荐
网络资源是无限的
06-19 1万+
为了便于理解SSL/TLS单向认证和双向认证执行流程,这里先介绍一些术语。 1. 散列函数(Hash function):又称散列算法、哈希函数,是一种从任何一种数据中创建小的数字”指纹”的方法。散列函数把消息或数据压缩成摘要,使得数据量变小,将数据的格式固定下来。该函数将数据打乱混合,重新创建一个叫做散列值(hash values, hash codes, hash sums)的指纹。散列值通常用一个短的随机字母和数字组成的字符串代表。好的散列函数在输入域中很少出现散列冲突。 散列函数的工作原理如下
openssl 单向认证
曾经(一卡通/支付/卡系统/POS/读卡器 c/c++/java/c#/android/sql) 现在 c++/golang后台/window客户端高级开发
07-11 837
openssl 单向认证
gRPC教程 — TLS单向认证、双向认证、Token认证、拦截器
Mr_XiMu的博客
05-23 5375
gRPC教程 — TLS单向认证、双向认证、Token认证、拦截器
基于openssl单向和双向认证
zhanglei_admin的博客
07-27 2944
1、前言    最近工作涉及到https,需要修改nginx的openssl模块,引入keyless方案。关于keyless可以参考CloudFlare的官方博客: https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/?utm_source=tuicool&utm_medium=referral。 在openssl的基础上修改私钥校验过程,因此需要对openssl认证认证流程需要熟悉一下。SSL
TLS单、双向认证资料
11-27
1. **TLS单向认证**:在单向认证中,服务器向客户端证明自己的身份,而客户端无需向服务器证实。这通常通过服务器的数字证书实现,证书由可信任的证书颁发机构(CA)签名。 2. **TLS双向认证**:在此模式下,服务器和...
JAVA实现的SSL/TLS双向认证源代码
02-02
通常,SSL/TLS连接采用单向认证,即服务器验证客户端的身份,而客户端不需要验证服务器。但在某些高安全性的场景下,双向认证是必要的,即双方都需要证明自己的身份。这增加了安全性,防止了中间人攻击。 在Java中...
Openssl Socket实现SSL双向认证连接 -易语言
06-12
这与单向认证不同,单向认证中通常只需要服务器验证客户端的身份。在双向认证中,两个通信方都需要提供有效的证书来证明自己的身份,确保了双方都是可信的。 在OpenSSL中,实现SSL双向认证的基本步骤如下: 1. **...
使用openssl生成单向ssl证书
04-04
使用openssl生成单向ssl证书,此方法生成的证书可以用于基于boost.asio库的SSL通讯测试中。基于基于boost.asio库SSL通讯测试程序可参见本人其他资源。
VC http/https(包含单向认证、双向认证源码、SSL协议设置)
11-14
VC http/https(包含单向认证、双向认证源码、SSL协议设置) 这个类是从我现在正在开发的代码中扣出来的,但是耦合性应该不高,可以加入到其他工程使用,带S的函数是针对多线程压力测试几乎没有捕获异常。代码以先...
mosquitto ---SSL/TLS 单向认证+双向认证
weixin_33912445的博客
10-20 420
生成证书 # * Redistributions in binary form must reproduce the above copyright #   notice, this list of conditions and the following disclaimer in the #   documentation and/or other materials provide...
gRPC — SSL/TLS单向认证、双向认证、Token认证
qq_56639722的博客
03-09 2545
传输层安全性协议(Transport Layer Security,缩写作 TLS ),其前身安全套接层(Secure Sockets Layer,缩写作 SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。根据传输层安全协议的规范,客户端与服务端的连接安全应该具备连接是私密的或连接是可靠的一种以上的特性。SSL/TLS 协议通过 X.509 证书的数字文档将网站的公司实体信息绑定到加密密钥,每一个密钥对都有一个私有密钥和一个公有密钥。
openssl https 单向认证连接成功示例
banyuxuan7255的博客
11-27 305
openssl https 单向认证连接成功示例 研究这个玩意也有几天的时间了,刚学C 因为不熟悉编译折腾了不少时间,终于弄通了,发个随笔给研究openssl https的同学一点提示吧。 环境: ================================...
win10系统下openssl证书生成和单向认证
最新发布
韩若熙的博客
09-06 1125
最近工作中要完成ssl加密啊通信,使用到了openssl,本文主要介绍win10系统下其安装和配置及对应的密钥和证书的生成步骤.
openssl私有CA证书签发与单双向认证
weixin_42098322的博客
06-09 881
什么是CA?如何建立私有CA并签发证书?如何对证书进行单双向认证
SSL双向认证单向认证
m0_51514815的博客
05-29 6159
参考:https://www.cnblogs.com/bluestorm/p/10571989.html整理双向认证 SSL 协议要求服务器和用户双方都有证书。单向认证 SSL 协议不需要客户拥有CA证书。
nginx配置mqtt单向认证
06-10
要配置MQTT单向认证,需要在Nginx服务器上安装MQTT代理服务器(例如Mosquitto),并确保已启用TLS/SSL协议。然后,按照以下步骤进行Nginx配置: 1. 生成证书和密钥文件。使用openssl生成证书和密钥文件,例如: `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值