使用openssl实现 https (TLS 和OpenSSL关系) + 浏览器https校验

最新推荐文章于 2024-05-13 13:01:29 发布
最新推荐文章于 2024-05-13 13:01:29 发布
阅读量5.6k 收藏 7
点赞数 1
分类专栏: C++ 前端 通讯 文章标签: openssl https 证书 poco实现https客户端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoxiaoyu85/article/details/46780487
版权
C++ 同时被 3 个专栏收录
34 篇文章 0 订阅
订阅专栏
前端
18 篇文章 0 订阅
订阅专栏
通讯
12 篇文章 0 订阅
订阅专栏

openssl TLS的关系

TLS(Transport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。

在SSL更新到3.0时,IETF对SSL3.0进行了标准化,并添加了少数机制(但是几乎和SSL3.0无差异),标准化后的IETF更名为TLS1.0(Transport Layer Security 安全传输层协议),可以说TLS就是SSL的新版本3.1,并同时发布“RFC2246-TLS加密协议详解”
 

1.0.0h的Openssl版本支持SSLv2,SSLv3和 TLSv1.0

从Openssl 1.0.1开始,添加了对TLSv1.1和TLSv1.2的支持

从Openssl 1.1.1开始支持TLS1.3

 

mac下的opessl默认是0.9,更新方式如下:

http://www.liuchungui.com/blog/2016/05/10/mac10-dot-11sheng-ji-an-zhuang-openssl/

 

生成公私钥(证书)

https://openhome.alipay.com/doc/docIndex.htm?url=https://openhome.alipay.com/doc/viewKbDoc.htm?key=236615_428849&type=info

注意 PKCS8格式私钥  是给java服务端用的,C++客户端使用RSA格式

 

PEM格式证书

 

PEM – Openssl使用 PEM(Privacy Enhanced Mail)格式来存放各种信息,它是 openssl 默认采用的信息存放方式。Openssl 中的 PEM 文件一般包含如下信息:

内容类型:表明本文件存放的是什么信息内容,它的形式为“——-BEGIN XXXX ——”,与结尾的“——END XXXX——”对应。

使用PEM格式存储的证书
—–BEGIN CERTIFICATE—–
MIICJjCCAdCgAwIBAgIBITANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCVVMx
………
1p8h5vkHVbMu1frD1UgGnPlOO/K7Ig/KrsU=
—–END CERTIFICATE—–
使用PEM格式存储的私钥
—–BEGIN RSA PRIVATE KEY—–
MIICJjCCAdCgAwIBAgIBITANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCVVMx
………
1p8h5vkHVbMu1frD1UgGnPlOO/K7Ig/KrsU=
—–END RSA PRIVATE KEY—–
使用PEM格式存储的证书请求文件
—–BEGIN CERTIFICATE REQUEST—–
MIICJjCCAdCgAwIBAgIBITANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCVVMx
………
1p8h5vkHVbMu1frD1UgGnPlOO/K7Ig/KrsU=
—–END CERTIFICATE REQUEST—–

 

 

 

DER – 辨别编码规则 (DER) 可包含所有私钥、公钥和证书。它是大多数浏览器的缺省格式,并按 ASN1 DER 格式存储。它是无报头的 - PEM 是用文本报头包围的 DER。

CER  - 一般指使用DER格式的证书

编码格式转换

真正需要转换的是.pem.der这两种证书文件,因为他们使用不同的编码方式

 

证书链

从https网站下载证书时,如果是3级证书链,则证书验证的时候,也需要有父证书,否则证书验证不过

Poco::Net::initializeSSL();
    CString cstrRootCer = pahy::GetResourceDirectory()+_T("\\conf\\certificates\\rootcert.pem"); //所有
    CString cstrTestCer = pahy::GetResourceDirectory()+_T("\\conf\\certificates\\Test.cer");            
    string strRootCer = TOOL_STRING::UnicodeToUTF8((LPCTSTR)cstrRootCer);
    string strTestCer = TOOL_STRING::UnicodeToUTF8((LPCTSTR)cstrTestCer);
    SharedPtr<InvalidCertificateHandler> ptrCert = new ConsoleCertificateHandler(false); 
    Context::Ptr ptrContext = new Context(Context::TLSV1_2_CLIENT_USE, "", strTestCer, strRootCer, Context::VERIFY_RELAXED, 9, false, "ALL:!ADH:!LOW:!EXP:!MD5:@STRENGTH");
    SSLManager::instance().initializeClient(0, ptrCert, ptrContext);

 

浏览器证书验证

https://www.cnblogs.com/xiohao/p/9032481.html

 

 

96掌门师兄
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openSSL实现TLS双向认证
新时代农民工
07-26 1278
TLS(传输层安全性)双向认证,也称为客户端认证或互相认证,是一种网络安全协议的扩展,用于建立在传输层上的安全连接。传统的TLS认证只需要服务器验证客户端的身份,而双向认证则要求客户端也验证服务器的身份。在TLS双向认证中,客户端和服务器都必须拥有数字证书。数字证书由可信的第三方证书颁发机构(CA)签发,用于证明实体(如服务器)的身份。以下是TLS双向认证的基本步骤:1. 服务器配置:服务器需要配置受信任的数字证书,该证书由CA签发。配置包括私钥和公钥。
OpenSSL:适用TLS与SSL协议的全功能工具包,通用加密库
小小的进步
07-04 852
OpenSSL:适用TLS与SSL协议的全功能工具包,通用加密库
https网络编程——使用openssl库自建根证书_openssl 生成根证书(1)
最新发布
2401_83817769的博客
05-13 393
建立serial,并在文件中填入0001,被签发的证书都会有序号和位置,记录这份证明在早先签署的和发布的单位签字并且发布的证明号码,这个文件能使用为记录签署和发布证明号码的根证明,每次签署和发行证明OpenSSL的根证明可能自动地更新这个文件。(具体没什么用,但必须要有)每次签署和发行证明OpenSSL的根证明可能自动地更新这个文件建立index.txt,这个文件能为纪录使用根证明签署和发布证明纪录。根证明普通的情况用途为对标志和发行传递的证明,再标志和问题终端证明由传递的证明(服务器,客户端)。
使用OpenSSL实现https
中国华的博客
07-31 1648
一、配置OpenSSL生成证书 1、由于是实验,所以要自己安装OpenSSL(官方地址https://www.openssl.org)生成证书,其版本号分为1.1和1.0两个大分支,Centos 7开始使用1.0.2k版本,如果配置的SSL需要达到苹果要求也需要1.0.2版本。1.1依赖的libssl也是1.1版本的,而系统默认的libsso库是1.0版本(ls /usr/lib64/libssl...
探索https原理,用openssl实现https
lkun2002的博客
09-17 2607
基于openssl和socket,实现ssl和https。并在浏览器访问
openssl-1.0.2t及1.1.1m编译
m0_37915666的博客
09-23 940
openssl 1.0.2 1.1.1 交叉编译
OpenSSL库和头文件
05-12
OpenSSL 是一个强大的安全套接层 (SSL) 和传输层安全 (TLS) 实现的开源库,它提供了各种加密算法、数字证书管理功能以及用于安全通信的协议。这个压缩包包含的是预先编译好的 OpenSSL 库和头文件,适用于 Visual ...
基于线程池和使用openssl加密的TCP文件传输工程源码
03-13
这是一个关于使用线程池和OpenSSL加密技术实现TCP文件传输的工程源码。在这个项目中,开发者通过结合TCP/IP协议栈、线程池以及OpenSSL库来创建一个安全且高效的文件传输系统。以下是对这个工程源码的关键知识点的...
Win64OpenSSL
12-04
在进行网络服务配置或开发加密应用程序时,确保使用最新和安全的OpenSSL版本至关重要,因为它关系到数据的安全性和合规性。定期更新OpenSSL可以保护系统免受已知的加密漏洞攻击,确保数据传输的安全。
openssl-1.1.1m centos 7 rpm
12-21
OpenSSL 是一个强大的安全套接层 (SSL) 和传输层安全 (TLS) 库,用于创建网络通信的安全连接。在本场景中,我们讨论的是 OpenSSL 的版本 1.1.1m,在 CentOS 7 系统上的 RPM 包安装。RPM(Red Hat Package Manager)...
国密算法文档和代码。基于openssl实现
02-12
OpenSSL是一个强大的安全套接层(SSL/TLS)和通用加密库,广泛应用于网络服务器、应用程序和操作系统。通过OpenSSL,开发者可以方便地在他们的软件中实现国密算法,支持与国际标准兼容的同时,满足国内对密码技术的...
linux服务器tls版本升级,Linux下Openssl升级
weixin_32620855的博客
04-28 937
大多的 Centos 自带的 Openssl 非常老旧,云厂商的源也没有及时更新,所以我们采用自己编译的方式升级。【查看版本】[root@wzxaini9/]#opensslversion-aOpenSSL1.0.2k-fips26Jan2017builton:reproduciblebuild,dateunspecifiedplatform:linux-x86_64...
java实现HTTPS单向认证&TLS指定加密套件(文章很详细,好文章!)
HD243608836的博客
07-13 6331
1、HTTPS介绍 由于HTTP是明文传输,会造成安全隐患,所以在一些特定场景中,必须使用HTTPS协议,简单来说HTTPS=HTTP+SSL/TLS。服务端和客户端的信息传输都是通过TLS进行加密。这样就能在一定程度上避免敏感信息被截取。 在通信过程中,请求方称为客户端,响应方称为服务端。HTTPS请求流程如图: 1、客户端向服务端发送加密版本、加密算法种类、随机数信息等。 2、服务端返回客户端发送的信息并带上服务端证书(公钥证书)。 3、客户端效验服务端证书的合法性。 4、...
SSL/TLS深度解析--OpenSSL 升级到最新版本
weixin_34015566的博客
10-11 2067
OpenSSL下载地址 OpenSSL 1.1.1 现有版本 [root@localhost ~]# cat /etc/redhat-release CentOS Linux release 7.5.1804 (Core) [root@localhost ~]# uname -r 3.10.0-862.11.6.el7.x86_64 [root@localhost ~]# openssl ve...
linux服务器tls版本升级,在Linux系统上升级OpenSSL的方法
weixin_36488954的博客
04-28 1819
我是用的Centos ,目前官方说受威胁的版本是1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1 。在OpenSSL 1.0.1g版本中“ Heartbleed”漏洞被修复。所有centos6.5的系统运行OpenSSL 1.0.1e (openssl-1.0.1e-16.el6_5.4) 都会受到威胁,貌似只有6.5的会受到威胁。先查看你...
OpenSSL发布最新长期支持版本1.1.1,支持TLS 1.3(然而python3.7.4以上版本已经集成了openssl和hashlib)
走在搬砖的路上!
04-09 3024
日前,OpenSSL官方博客,发布消息宣布其新的版本OpenSSL 1.1.1,这是OpenSSL既上个LTS(长期支持版本)1.0.2之后有一个LTS版本,承诺至少支持五年。 200贡献5000次commits OpenSSL 1.1.1是一项庞大的团队协作项目。根据官方统计:自OpenSSL 1.1.0发布以来,已经有超过200人提交了代码,提交了近5000次提交。这些统计数据只...
OpenSSL命令---s_client
热门推荐
VitalityShow(网络通讯)
11-18 4万+
s_client为一个SSL/TLS客户端程序,与s_server对应,它不仅能与s_server进行通信,也能与任何使用ssl协议的其他服务程序进行通信。
密码学专题 openssl的基本概念
CHYabc123456hh的博客
11-15 2308
配置文件 配置文件是OpenSSL的一个基础结构组件,OpenSSL使用一组称为OpenSSLCONF的函数来读取OpenSSL配置文件的信息。OpenSSL提供的主配置文件是opensl.cnf,它集成了OpenSSL所要使用的配置文件选项的大部分内容。此外,OpenSSL还提供了其他一些部分的配置文件,用于专门配置证书请求或者X.509v3证书的扩展项。 OpenSSL的配置文件使用字段的概念分成不同的部分。一般来说,每个字段的开始使用[Section_Name]来标识,直到下一个字段开始或者到达文
关于TLS/SSL协议
weixin_34106122的博客
12-19 300
由于http协议是明文传输,安全性差,因此要利用https来进行加密传输,关键点在于TLS/SSL协议 一、TLS/SSL协议的发展 SSL(安全套接层)最初在1994年创建,作为http的扩展,后来逐步发展为独立协议,并更新了三个版本(v1.0、v2.0、v3.0),后来在v3.0基础上标准化了该协议,并命名为TLS(传输层安全协议v1.0)。因此,TLS可以理解为SSL协议的升级版。 二、H...
linux openssl实现https
01-12
要在Linux上使用OpenSSL实现HTTPS,可以按照以下步骤进行操作: 1. 生成RSA密钥文件: ```shell openssl genrsa -des3 -passout pass:x -out ssl.pass.key 2048 openssl rsa -passin pass:x -in ssl.pass.key -out ssl.key ``` 2. 生成证书签名请求(CSR)文件: ```shell openssl req -new -key ssl.key -out ssl.csr ``` 3. 生成自签名证书: ```shell openssl x509 -req -days 365 -in ssl.csr -signkey ssl.key -out ssl.crt ``` 4. 配置Web服务器以使用生成的证书和密钥文件。 请注意,这只是一个简单的示例,用于生成自签名证书。在实际使用中,您可能需要购买或获取由受信任的证书颁发机构(CA)签名的证书

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值