SSL编程简介

OpenSSL是一个开放源代码的SSL协议实现，采用C语言作为开发语言，具备了跨系统的性能。调用OpenSSL的函数就可以实现一个SSL加密的安全数据传输通道，从而保护客户端和服务器之间数据的安全。

头文件：

#include <openssl/ssl.h>
#include <openssl/err.h>

在使用OpenSSL之前，必须进行相应的协议初始化工作，这可以通过下面的函数实现：

int SSL_library_int(void);

在开始SSL会话之前，需要为客户端和服务器制定本次会话采用的协议，目前能够使用的协议包括TLSv1.0、SSLv2、SSLv3、SSLv2/v3。需要注意的是，客户端和服务器必须使用相互兼容的协议，否则SSL会话将无法正常进行。

在OpenSSL中创建的SSL会话环境称为CTX，使用不同的协议会话，其环境也不一样的。申请SSL会话环境的OpenSSL函数是：

SSL_CTX *SSL_CTX_new(SSL_METHOD *method);

当SSL会话环境申请成功后，还要根据实际的需要设置CTX的属性，通常的设置是指定SSL握手阶段证书的验证方式和加载自己的证书。制定证书验证方式的函数是：

int SSL_CTX_set_verify(SSL_CTX *ctx, int mode, int(*verify_callback), int(X509_STORE_CTX *));

为SSL会话环境加载CA证书的函数是：

SSL_CTX_load_verify_location(SSL_CTX *ctx, const char *Cafile, const char *Capath);

为SSL会话加载用户证书的函数是：

SSL_CTX_use_certificate_file(SSL_CTX *ctx, const char *file, int type);

为SSL会话加载用户私钥的函数是：

SSL_CTX_use_PrivateKey_file(SSL_CTX *ctx, const char *file, int type);

在将证书和私钥加载到SSL会话环境之后，就可以调用下面的函数来验证私钥和证书是否相符：

int SSL_CTX_check_private_key(SSL_CTX *ctx);

SSL套接字是建立在普通的TCP套接字基础之上，在建立SSL套接字时可以使用下面的一些函数：

SSL *SSl_new(SSL_CTX *ctx); // 申请一个SSL套接字
int SSL_set_fd(SSL *ssl, int fd);)  // 绑定读写套接字
int SSL_set_rfd(SSL *ssl, int fd);  // 绑定只读套接字
int SSL_set_wfd(SSL *ssl, int fd); // 绑定只写套接字

在成功创建SSL套接字后，客户端应使用函数SSL_connect()替代传统的函数connect()来完成握手过程:

int SSL_connect(SSL *ssl);

而对服务器来讲，则应使用函数SSL_ accept()替代传统的函数accept()来完成握手过程:

int SSL_accept(SSL *ssl);

握手过程完成之后，通常需要询问通信双方的证书信息，以便进行相应的验证，这可以借助于下面的函数来实现:

X509 *SSL_get_peer_certificate(SSL *ssl);

该函数可以从SSL套接字中提取对方的证书信息，这些信息已经被SSL验证过了。

得到证书所用者的名字：

X509_NAME *X509_get_subject_name(X509 *a);

当SSL握手完成之后，就可以进行安全的数据传输了，在数据传输阶段，需要使用SSL_read()和SSL_write()来替代传统的read()和write()函数，来完成对套接字的读写操作：

int SSL_read(SSL *ssl, void *buf, int num);
int SSL_write(SSL *ssl, const void *buf, int num);

当客户端和服务器之间的数据通信完成之后，调用下面的函数来释放已经申请的SSL资源：

int SSL_shutdown(SSL *ssl); // 关闭SSL套接字
void SSl_free(SSL *ssl); // 释放SSL套接字
void SSL_CTX_free(SSL_CTX *ctx);  // 释放SSL会话环境

客户端程序的框架：

meth = SSLv23_client_method();  
ctx = SSL_CTX_new(meth);  
ssl = SSL_new(ctx);  
fd = socket();  
connect();  
SSL_set_fd(ssl, fd);  
SSL_connect(ssl);  
SSL_write(ssl, "Hello world", strlen("Hello World!")); 

服务端程序的框架：

meth = SSLv23_server_method();  
ctx = SSL_CTX_new(meth);  
ssl = SSL_new(ctx);  
fd = socket();  
bind();  
listen();  
accept();  
SSL_set_fd(ssl, fd);  
SSL_connect(ssl);  
SSL_read(ssl, buf, sizeof(buf));

OpenSSL中的SSL安全通信可以分为两类，两类基本上的操作相同，一类是建立SSL环境后使用BIO读写，另一类是直接在socket上建立SSL上下文环境。在OpenSSL的安装目录下的misc目录下，运行脚本sudo ./CA.sh -newca，根据提示填写信息完成后会生成一个demoCA的目录，里面存放了CA的证书和私钥。

生成客户端和服务器证书申请：

$ openssl req -newkey rsa:1204 -out sslclientreq.pem -keyout sslclientkey.pem
$ openssl req -newkey rsa:1204 -out sslserverreq.pem -keyout sslserverkey.pem

签发客户端和服务器证书：

$ openssl ca -in sslclientreq.pem -out sslclientcert.pem
$ openssl ca -in sslserverreq.pem -out sslservercert.pem

参考文章

Ubuntu使用OpenSSL生成数字证书详解
SSL编程- 简单函数介绍
SSL/TLS原理详解
SSL握手通信详解及linux下c/c++ SSL Socket