关于OpenSSL支持USB-KEY证书的尝试

最新推荐文章于 2024-05-04 10:07:01 发布
最新推荐文章于 2024-05-04 10:07:01 发布
阅读量2.9k 收藏 2
点赞数
因本人工作需要,需要在OpenSSL中访问USB-KEY中的证书和服务器建立连接。

在神童哥的帮助下,得出二种实现方式。

1、 如果USB-KEY的驱动程序支持PKCS#11接口,则OpenSSL通过engine可以比较方便地访问USB-KEY。

2、 听说最新版本的OpenSSL 0.9.8i版本已经增WINDOWS CAPI的支持。

因本人比较懒,就直接尝试了OpenSSL 0.9.8i版本。

在网上参考了这个网站的信息

http://markmail.org/message/hrrq3hhciz6vml6w#query:OPENSSL%20CryptoAPI%20ENGINE+page:1+mid:ufpkpzqtk5ohn5hz+state:results

有兴趣的朋友可以去看看。



好,现在开始工作。

1、 下载OpenSSL 0.9.8i,并解包,地址:

http://www.openssl.org/source/openssl-0.9.8i.tar.gz

2、 下载ActivePerl,并安装,地址:

http://www.activestate.com/Products/activeperl/index.mhtml

3、 编译库,因为OpenSSL 0.9.8i默认是不打开CAPI支持的,所以在编译前先修改配置。因为我用的是VC,所以用

perl Configure VC-WIN32 enable-capieng -DOPENSSL_SSL_CLIENT_ENGINE_AUTO=capi -DOPENSSL_CAPIENG_DIALOG 

先打开enable-capieng,再把SSL_CLIENT的ENGINE自动指向CAPI

4、 开始编译,编译都一样,我就不多说了,网上资料多的是。

经过上面步骤,库的编译就完成了。



下面开始测试。

以前我用OPENSSL做CLINET的时候,是通过文件证书方式提供,不提供证书,对那些需要客户端证书的网站是无法访问。

基于这个前提,进行了以下试验。

进行对USB-KEY的试验(特别说明,试验用的USB-KEY是公安专用,所以第一次访问USB-KEY时会要求输入KEY的密码,并在公安内网中进行试验。)

1、 用新编译的软件发起HTTPS页面请求,软件弹出公安KEY的密码输入窗口。(可以证明去访问了CAPI,并成功访问到该USB)。

2、 输入密码后,返回的页面中带有USB-KEY主人的信息。(被证明USB-KEY支持成功)

3、 拨出USB-KEY,再次请求该页面。返回的页面中不带任何人员信息,直接跳转到登录窗口。

4、 再次插入(测试软件不重启),再次请求HTTPS,又出现密码输入窗口,输入密码后,成功访问页面,页面中并带有USB-KEY主人的信息。

5、 再次请求该页面,没有出现密码输入窗口,页面返回正常,即同样带有USB-KEY主人的信息。

通过以上五步测试,证明新编译的OPENSSL 0.9.8i版本可以自动的向CAPI进行调用。这给需要在OPENSSL中支持CAPI接口的开发者来说是一种福音,至少对我来说是,不用自己写代码,还要测试等等,呵呵。

这个版本好像只支持WINDOWS下的CAPI接口,LINUX下的不清楚了。就说到这里,本着OPENSSL开源的原则,我把我的测试经过供大家参考。以后如果有类似需求的朋友可以尝试一下。
wzsy
关注
USBKey使用openssl链接
wuyantt的专栏
09-05 5076
OpensslUSBKey的研究 1.    USBKey USBKey是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。 2.    Openssl OpenSSL 是一个强大的安全套接字层
基于openssl的安全通信
kinginone的博客
05-07 1600
通过一段时间的学习,编写了一个安全通信实例,在这里分享一下心得。 openssl的安装和编译我在这里就不多说了,可以到openssl官网下载安装,https://www.openssl.org/。 mfc的学习在前面已经介绍了,在这里也不多介绍了。 可以看到编写一个综合性较强的项目,需要的是大量的知识,比如说socket编程,你需要了解其函数的用法和加载的流程。一个项目的大致方向应该有一定的方向感...
基于OpenSSL的服务器USB-key签发程序
WvW的专栏
02-15 1859
基于OpenSSL的服务器USB-key签发程序   0.生成一个CA根证书   1.生成ca.key  ca.crt    1.生成服务器   1.生成server.key及server.csr文件服务器保存此 server.key (私钥S),解密客户发过来的
简谈Opensslusbkey证书认证相结合
cjdxzy2010的专栏
03-26 3210
一般windows客户端在做证书认证时候,使用微软的winnet相关的函数即可。 但在某些情况下,这种方式不够灵活自由,那么就可以使用openssl库来实现。对于使用p12证书进行客户端认证的代码 在网上随便可以搜出一大堆,但是结合usbkey进行认证的就少之又少。这里介绍一下openssl里的engine技术来解决这种方法。 1.使用较新版本的openssl自带的capi引擎,该引
私钥、证书USBKey
CathyYang82的博客
06-06 2447
一、关于私钥的唯一性严格地讲,私钥既然是世上唯一且只由主体本身持有,它就必须由主体的计算机程序来生成。因为如果在别处生成将会有被拷贝的机会。然而在实际应用上并非如此,出于某些特殊需要(例如,如果只有一份私钥,单位的加密文件就会因为离职员工带走私钥而无法解密。)加密用的公/私钥对会要求在可信的第三方储存其备份。这样,加密用的私钥可能并不唯一。然而签名用的私钥则必须保持唯一,否则就无法保证被签名信息的
#2.4. 证书USBkey-二次开发.
07-25
======================================================= 目录 & 说明 ======================================================= ECCdemo 通过PKCS#11接口创建ECC密钥对,并进行签名和验签操作; ------------------------------------------------------- EnumObj 通过PKCS#11接口列举出Token中的各种对象,如证书,公钥,私钥,秘密密钥; ------------------------------------------------------- exportcert 通过PKCS#11接口输出Token中的证书的一些属性; ------------------------------------------------------- FormatKey 格式化Token,并重新划分公私有区大小,设置PIN码重试次数和密钥对数量。 ------------------------------------------------------- GetUSBInfos 通过PKCS#11接口获得slot, cryptoki, token的属性信息; ------------------------------------------------------- GuoMiTest 通过PKCS#11接口产生ssf33和scb2密钥,并进行加解密运算; ------------------------------------------------------- HMACTest 通过PKCS#11接口产生GENERIC SECRET密钥,并进行HMAC-SHA1功能验证; ------------------------------------------------------- InitToken 通过PKCS#11接口实现初始化操作,并进行Ansi和Utf8字符转换; ------------------------------------------------------- OTPDemo 通过PKCS#11接口产生HOTP密钥,并产生OTP结果; ------------------------------------------------------- PKCSDemo 通过PKCS#11接口创建RSA密钥对,并进行签名、加密、签名验证和解密的运算; ------------------------------------------------------- PKCStest 通过PKCS#11接口产生多种类型的密钥,如DES/3DES/RC2/RC4/RSA,并进行加解密运算; ------------------------------------------------------- 注:除Microsoft Visual C++外,你需要另外安装 Microsoft Platform SDK,并把SDK安装目录中的 include目录和lib目录分别放置在VC开发环境选项 (对于VC6来说,是菜单中Tools->Options...弹出的 对话框中的Directories页)中的目录(include) 和库(lib)中VC++的路径之前才能够正确编译链接运 行。
ubuntu双系统引导梅花_Ubuntu Windows双系统和USB无线网卡安装的正确方法
weixin_39594191的博客
11-20 846
笔者最近体验了双系统安装和网卡安装的快乐和痛苦经历,过程很痛苦,结果很美好,在这里和大家简单分享一下,希望有所帮助。1.双系统安装第一次装双系统,最好搞清除一些概念,然后在磁盘分配上花了一点时间,不要急着动手,否则很可能会遭遇很多挫折,导致安装失败,搞不好还可能导致原来磁盘上的资料丢失,要恢复就没这么简单了。由于也是第一次安装,网上资料很杂,水平有好有坏。这里笔者贴出一个靠谱的链接可作为实际操作指...
预备阶段 - Charles 安装与配置
最新发布
dafan0的博客
05-04 795
Charles是一个HTTP代理与监视软件,方便开发人员查看手机与Internet之间的所有HTTP和HTTPS网络记录Charles 官方网站:https://www.charlesproxy.com/Charles 下载网址:https://www.charlesproxy.com/download/
windows mkcert 配置https证书【应用场景】在 Ubuntu 系统上生成证书并分发给 Windows 使用
解释mkcert工具的作用和优势,以及为什么选择在Ubuntu系统上生成证书。 # 3. 在Ubuntu上安装和配置mkcert 在这一部分,我们将详细介绍如何在Ubuntu系统上安装和配置mkcert工具,以便生成自签名的HTTPS证书。 ####...
NISP一级课程学习-第二章信息安全基础技术
weixin_44982065的博客
12-21 1196
信息安全基础技术密码学威胁、安全属性与密码学技术密码学发展古典密码(古代——19世纪末)近代密码(20世纪初——1949)20世纪初到1949年现代密码(1949——1976)公钥密码(1976—— )加密与解密明文(Plaintext)密文(Ciphertext)或密报(Cryptogram)加密员或密码员(Cryptographer)截获加密(Encryption )解密(Decryption )对称密码算法非对称密码算法混合加密哈希函数MD5算法SHA-1算法比较SHA-1/MD5数字签名数字签名的应
Openssl Engine pkcs11 示例程序
02-17
OpenSSL的0.9.7版,Engine机制集成到了OpenSSL的内核中,成为了OpenSSL不可缺少的一部分。 Engine机制目的是为了使OpenSSL能够透明地使用第三方提供的软件加密库或者硬件加密设备进行加密。OpenSSL的Engine机制成功地达到了这个目的,这使得OpenSSL已经不仅仅使一个加密库,而是提供了一个通用地加密接口,能够与绝大部分加密库或者加密设备协调工作。当然,要使特定加密库或加密设备更OpenSSL协调工作,需要写少量的接口代码,但是这样的工作量并不大,虽然还是需要一点密码学的知识。Engine机制的功能跟Windows提供的CSP功能目标是基本相同的。支持PKCS#11接口的Engine接口
用C++编译 Openssl Engine及分享一个Openssl Engine框架
10-19
本模板程序定义了实现openssl ENGINE的Engine框架。 实现的基本思路是要通过Engine来替换openssl原来的 ASE-CBC算法和MD5算法。 本程序定义了必须实现的接口。用户只需要根据程序中 的说明,实现相应的接口即可。 实现ENGINE的时候,可以使用CSP。P11或者算法实现的API等。 本模板支持Linux、Windows 、Mac。兼容:openssl1.0和.0.9.8 如果在使用过程中有任何问题。 在windows上编译,使用vc2005或vc2008 在linux下,请运行 make
Shell脚本学习-阶段二十七-命令解释三
qq_43058317的博客
06-16 5295
文章目录前言quyotastatsrepquotaconvertquotaswapoffswaponsyncchrootgetentlastlastblastloglogrotatelogsavelogwatchopensslsudo=================ctrlaltdelhalt============poweroff============reboot==================shutdown=============changechpasswdchshfinger=====..
OpenSSL之安全通讯基础
weixin_33829657的博客
06-14 86
安全特性:任何一套安全的通讯系统在数据传输过程中至少具备以下三个特性:1,验证来源的合法性 2,保证数据的完整性 3,保证数据的私密性对称加密:对数据的私密性要求,我们可以通过对数据进行加解密来完成。如下图所示:数据加密(encryption):使用一个密钥(key)并通过一种加密算法将明文(...
SSL使用USBKey证书的需求分析(转)
xiliang_pan的专栏
06-07 5292
背景 很多系统,如炒股软件采用客户端/服务器结构,用户安装客户端炒股软件在本地计算机,并与证券公司的服务器系统连接,以完成股票的买卖等操作。 客户端与服务器端采用SSL安全通道连接,以防止第三方窃听和篡改通信的内容。但连接时不使用双向认证或者只使用文件证书来进行双向认证。这样做会存在一些风险。 1、 任何人获取了本地主机的访问权限就可以连接到服务器端。 2、 文件证书保存在本地计算机的磁盘
C++ 使用OpenSSL
热门推荐
xunmeng2002的专栏
09-04 1万+
最近在研究C++使用OpenSSL,前面的文章介绍了编译OpenSSL源码的过程,这里随便写下加密解密的用法。 MD5: #include <openssl\md5.h> #include <iostream> using namespace std; int md5_encrypt(const void* data, size_t len, unsigned ch...
OpenSSL进行SSL通讯的一些问题
wangsifu2009的专栏
05-30 1531
这两个星期真是被OpenSSL给烦透了,几个很简单基本的问题(如果没人告诉你真的很难测出来)把我搞的。。哎,有时候真是不知道自己该不该搞技术,发现自己头脑真是蠢得很。。。   直接上正题。   第一个问题:   前面讲过OpenSSL可以使用windows下的CAPI引擎(我也不太清楚是从哪个版本开始后就开始支持了,网上说是0.9.8i后),但是OpenSSL在windows下默认编译
https双向认证访问管理后台,采用USBKEY进行系统访问的身份鉴别,KEY证书长度大于128位,使用USBKEY登录
qq_26265699的博客
04-13 9183
最近项目需求,需要实现用USBKEY识别用户登录,采用https双向认证访问管理后台管理界面,期间碰到过一些小问题,写出来给大家参考下。 1:前期准备工作 USBKEY 硬件:我买的是飞天诚信 epass1000ND 若干个(一个USBKEY绑定一个用户,等同于我们的银行U盾识别一样) USBKEY开发资料:CDROM_CN\PKI,找到该开发目录(跟厂家买硬件时一并给的
openssl生成CA证书
weixin_33754065的博客
06-28 141
生成密钥对 openssl genrsa -out cs2c-ca.key 1024 生成CA证书 openssl req -new -x509 -key catest.key -out cs2c-ca.crt cs2c-ca.crt 就是CA证书,可以用它为其它证书请求签发证书。 假设要为你的usbkey生成一个证书...
openssl req -new -key root-key.pem -out ca.csr
05-14
- `-key root-key.pem` 表示使用名为 root-key.pem 的私钥来生成证书请求。这个私钥应该是之前生成的。 - `-out ca.csr` 表示将生成的证书请求保存到名为 ca.csr 的文件中。这个文件将被发送给证书颁发机构(CA)来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值