OpenSSL身份认证 RSA、ECC、SM2

最新推荐文章于 2024-07-04 16:28:20 发布
最新推荐文章于 2024-07-04 16:28:20 发布
阅读量4.1k 收藏 16
点赞数 1
分类专栏: OpenSSL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuebing1995/article/details/86742078
版权

一、生成证书

openSSL生成RSA证书

1 生成自签CA

  • 生成CA密钥
genrsa -aes256 -passout pass:123456 -out ca_rsa_private.pem 2048
  • 自签名证书
req -new -key server_rsa_private.pem -passin pass:server -out server.csr

2 生成服务端证书

  • 生成服务端密钥
genrsa -aes256 -passout pass:server -out server_rsa_private.pem 2048
  • 生成服务端代签名证书
req -new -key server_rsa_private.pem -passin pass:server -out server.csr
  • 使用CA证书及密钥对服务器证书进行签名
x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca_rsa_private.pem -passin pass:123456 -CAcreateserial -out server.crt

3 生成客户端证书

  • 生成客户端密钥
genrsa -aes256 -passout pass:client -out client_rsa_private.pem 2048
  • 生成客户端代签名证书
req -new -key client_rsa_private.pem -passin pass:client -out client.csr
  • 使用CA证书及密钥对客户端证书进行签名
x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca_rsa_private.pem -passin pass:123456 -CAcreateserial -out client.crt

openSSL生成SM2证书

1 生成自签CA

  • 生成CA密钥
ecparam -genkey -name SM2 -out ca.key
  • 自签名证书
req -new -x509 -days 3650 -key ca.key -out ca.crt

这里ecdsa with sha256可能需要换成sm3,不过在RFC 5349中规定为ecdsa SHA做digest,所以需要做二次开发,这次暂时用这个.
2 生成服务端证书

  • 生成服务端密钥
ecparam -genkey -name SM2 -out server_sm2_private.pem
  • 生成服务端代签名证书
req -new -key server_sm2_private.pem -out server.csr
  • 使用CA证书及密钥对服务器证书进行签名
x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

3 生成客户端证书

  • 生成客户端密钥
ecparam -genkey -name SM2 -out client_sm2_private.pem
  • 生成客户端代签名证书
req -new -key client_sm2_private.pem -out client.csr
  • 使用CA证书及密钥对客户端证书进行签名
x509 -req -days 3650 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt

生成ECC证书

和SM2大同小异,SM2也是ECC改造的国密算法。

1 生成自签CA

  • 生成CA密钥
ecparam -genkey -name prime256v1 -out ca.key
  • 自签名证书
req -new -x509 -days 3650 -key ca.key -out ca.crt

2 生成服务端证书

  • 生成服务端密钥
ecparam -genkey -name prime256v1 -out server_ecc_private.pem
  • 生成服务端代签名证书
req -new -key server_ecc_private.pem -out server.csr
  • 使用CA证书及密钥对服务器证书进行签名
x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

3 生成客户端证书

  • 生成客户端密钥
ecparam -genkey -name  prime256v1 -out client_ecc_private.pem
  • 生成客户端代签名证书
req -new -key client_ecc_private.pem -out client.csr
  • 使用CA证书及密钥对客户端证书进行签名
x509 -req -days 3650 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt

证书项

C-----国家(Country Name)
ST----省份(State or Province Name)
L----城市(Locality Name)
O----公司(Organization Name)
OU----部门(Organizational Unit Name)
CN----产品名(Common Name)
emailAddress----邮箱(Email Address)

二、身份认证

Server代码:

#include "stdafx.h"
#include <stdio.h>
#include <stdlib.h>
#include <errno.h>
#include <string.h>
#include <sys/types.h>
#include <winsock2.h>
#include<ws2tcpip.h>
#include <tchar.h>
#include <io.h>  
#include <process.h>  
#include <windows.h>
#include <openssl/ssl.h>
#include <openssl/ssl2.h>
#include <openssl/ssl3.h>
#include <openssl/err.h>
#pragma warning(disable:4996)
#define MAXBUF 1024
char caCertFilePath[MAX_PATH]={0};      //ca证书路径
char serverCertFilePath[MAX_PATH]={0};  //服务端证书路径
char serverPrivateFilePath[MAX_PATH]={0};	//服务端私钥路径

void ShowCerts(SSL * ssl)
{
	X509 *cert;
	char *line;

	cert = SSL_get_peer_certificate(ssl);
	// SSL_get_verify_result()是重点,SSL_CTX_set_verify()只是配置启不启用并没有执行认证,调用该函数才会真证进行证书认证
	// 如果验证不通过,那么程序抛出异常中止连接
	if(SSL_get_verify_result(ssl) == X509_V_OK){
		printf("证书验证通过\n");
	}
	if (cert != NULL) {
		printf("数字证书信息:\n");
		line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);
		printf("证书: %s\n", line);
		//free(line);
		line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);
		printf("颁发者: %s\n", line);
		//free(line);
		X509_free(cert);
	} else
		printf("无证书信息!\n");
}
void Two_Auth()
{
	int sockfd, new_fd;
	socklen_t len;
	struct sockaddr_in my_addr, their_addr;
	unsigned int myport, lisnum;
	char buf[MAXBUF + 1];
	SSL_CTX *ctx;

	//if (argv[1])
	//	myport = atoi(argv[1]);
	//else
		myport = 7838;

	//if (argv[2])
	//	lisnum = atoi(argv[2]);
	//else
		lisnum = 1;

	/* SSL 库初始化 */
	SSL_library_init();
	/* 载入所有 SSL 算法 */
	OpenSSL_add_all_algorithms();
	/* 载入所有 SSL 错误消息 */
	SSL_load_error_strings();
	/* 以 SSL V2 和 V3 标准兼容方式产生一个 SSL_CTX ,即 SSL Content Text */
	ctx = SSL_CTX_new(SSLv23_server_method());
	/* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 单独表示 V2 或 V3标准 */
	if (ctx == NULL) {
		ERR_print_errors_fp(stdout);
		system("pause");
		exit(1);
	}

	// 双向验证
	// SSL_VERIFY_PEER---要求对证书进行认证,没有证书也会放行
	// SSL_VERIFY_FAIL_IF_NO_PEER_CERT---要求客户端需要提供证书,但验证发现单独使用没有证书也会放行
	SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER|SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);
	// 设置信任根证书
	if (SSL_CTX_load_verify_locations(ctx, caCertFilePath,NULL)<=0){
		ERR_print_errors_fp(stdout);
		system("pause");
		exit(1);
	}

	/* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 */
	/*FILE *caf=fopen("../file/server.crt","r");
	char bufStr[5000]={0};
	fread(bufStr,1,5000,caf);
	fclose(caf);*/
	if (SSL_CTX_use_certificate_file(ctx, serverCertFilePath, SSL_FILETYPE_PEM) <= 0) {
		ERR_print_errors_fp(stdout);
		system("pause");
		exit(1);
	}
	/* 载入用户私钥 */
	/*memset(bufStr,0,5000);
	FILE *prif=fopen("../file/server_rsa_private.pem.unsecure","r");
	fread(bufStr,1,5000,prif);
	fclose(prif);*/
	if (SSL_CTX_use_PrivateKey_file(ctx,serverPrivateFilePath, SSL_FILETYPE_PEM) <= 0) {
		ERR_print_errors_fp(stdout);
		exit(1);
	}
	/* 检查用户私钥是否正确 */
	if (!SSL_CTX_check_private_key(ctx)) {
		ERR_print_errors_fp(stdout);
		system("pause");
		exit(1);
	}
	WSADATA wsd;
	int resStartup = WSAStartup(MAKEWORD(2,2),&wsd);
	if(0 != resStartup)
	{
		printf("failed to WSAStartup!\n");
		system("pause");
		exit(1);
	}
	/* 开启一个 socket 监听 */
	if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) == -1 ) {
		perror("socket");
		system("pause");
		exit(1);
	} else
		printf("socket created\n");
	memset(&my_addr,0,sizeof(my_addr));
	//bzero(&my_addr, sizeof(my_addr));
	my_addr.sin_family = PF_INET;
	my_addr.sin_port = htons(myport);
	my_addr.sin_addr.s_addr = INADDR_ANY;

	if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr))
		== -1) {
			perror("bind");
			system("pause");
			exit(1);
	} else
		printf("binded\n");

	if (listen(sockfd, lisnum) == -1) {
		perror("listen");
		system("pause");
		exit(1);
	} else
		printf("begin listen\n");

	while (1) {
		SSL *ssl;
		len = sizeof(struct sockaddr);
		/* 等待客户端连上来 */
		if ((new_fd = accept(sockfd, (struct sockaddr *) &their_addr, &len))
			== -1) {
				perror("accept");
				system("pause");
				exit(errno);
		} else
			printf("server: got connection from %s, port %d, socket %d\n",
			inet_ntoa(their_addr.sin_addr), ntohs(their_addr.sin_port),
			new_fd);

		/* 基于 ctx 产生一个新的 SSL */
		ssl = SSL_new(ctx);
		/* 将连接用户的 socket 加入到 SSL */
		SSL_set_fd(ssl, new_fd);
		/* 建立 SSL 连接 */
		if (SSL_accept(ssl) == -1) {
			perror("accept");
			close(new_fd);
			system("pause");
			break;
		}
		ShowCerts(ssl);

		/* 开始处理每个新连接上的数据收发 */
		//bzero(buf, MAXBUF + 1);
		memset(buf,0,MAXBUF + 1);
		strcpy(buf, "server->client");
		/* 发消息给客户端 */
		len = SSL_write(ssl, buf, strlen(buf));

		if (len <= 0) {
			printf("消息'%s'发送失败!错误代码是%d,错误信息是'%s'\n", buf, errno,
				strerror(errno));
			goto finish;
		} else
			printf("消息'%s'发送成功,共发送了%d个字节!\n", buf, len);

		memset(buf,0, MAXBUF + 1);
		/* 接收客户端的消息 */
		len = SSL_read(ssl, buf, MAXBUF);
		if (len > 0)
			printf("接收消息成功:'%s',共%d个字节的数据\n", buf, len);
		else
			printf("消息接收失败!错误代码是%d,错误信息是'%s'\n",
			errno, strerror(errno));
		/* 处理每个新连接上的数据收发结束 */
finish:
		/* 关闭 SSL 连接 */
		SSL_shutdown(ssl);
		/* 释放 SSL */
		SSL_free(ssl);
		/* 关闭 socket */
		//close(new_fd);
		WSACleanup();
	}
	/* 关闭监听的 socket */
	close(sockfd);
	/* 释放 CTX */
	SSL_CTX_free(ctx);
	WSACleanup();
}
void One_Auth()
{
	int sockfd=0, new_fd=0;
	socklen_t len=0;
	struct sockaddr_in my_addr, their_addr;
	unsigned int myport, lisnum;
	char buf[MAXBUF + 1]={0};
	SSL_CTX *ctx;

	//if (argv[1])
	//	myport = atoi(argv[1]);
	//else
		myport = 7838;

	//if (argv[2])
	//	lisnum = atoi(argv[2]);
	//else
		lisnum = 1;

	/* SSL 库初始化 */
	SSL_library_init();
	/* 载入所有 SSL 算法 */
	OpenSSL_add_all_algorithms();
	/* 载入所有 SSL 错误消息 */
	SSL_load_error_strings();
	/* 以 SSL V2 和 V3 标准兼容方式产生一个 SSL_CTX ,即 SSL Content Text */
	ctx = SSL_CTX_new(SSLv23_server_method());
	/* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 单独表示 V2 或 V3标准 */
	if (ctx == NULL) {
		ERR_print_errors_fp(stdout);
		system("pause");
		exit(1);
	}

	// 单向验证
	// SSL_VERIFY_PEER---要求对证书进行认证,没有证书也会放行
	// SSL_VERIFY_FAIL_IF_NO_PEER_CERT---要求客户端需要提供证书,但验证发现单独使用没有证书也会放行
	//SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER|SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);
	// 设置信任根证书
	/*if (SSL_CTX_load_verify_locations(ctx, "../file/ca.crt",NULL)<=0){
		ERR_print_errors_fp(stdout);
		system("pause");
		exit(1);
	}*/

	/* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 */
	/*FILE *caf=fopen("../file/server.crt","r");
	char bufStr[5000]={0};
	fread(bufStr,1,5000,caf);
	fclose(caf);*/
	if (SSL_CTX_use_certificate_file(ctx, serverCertFilePath, SSL_FILETYPE_PEM) <= 0) {
		ERR_print_errors_fp(stdout);
		system("pause");
		exit(1);
	}
	/* 载入用户私钥 */
	/*memset(bufStr,0,5000);
	FILE *prif=fopen("../file/server_rsa_private.pem.unsecure","r");
	fread(bufStr,1,5000,prif);
	fclose(prif);*/
	if (SSL_CTX_use_PrivateKey_file(ctx,serverPrivateFilePath , SSL_FILETYPE_PEM) <= 0) {
		ERR_print_errors_fp(stdout);
		exit(1);
	}
	/* 检查用户私钥是否正确 */
	if (!SSL_CTX_check_private_key(ctx)) {
		ERR_print_errors_fp(stdout);
		system("pause");
		exit(1);
	}
	WSADATA wsd;
	int resStartup = WSAStartup(MAKEWORD(2,2),&wsd);
	if(0 != resStartup)
	{
		printf("failed to WSAStartup!\n");
		system("pause");
		exit(1);
	}
	/* 开启一个 socket 监听 */
	if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) == -1 ) {
		perror("socket");
		system("pause");
		exit(1);
	} else
		printf("socket created\n");
	memset(&my_addr,0,sizeof(my_addr));
	//bzero(&my_addr, sizeof(my_addr));
	my_addr.sin_family = PF_INET;
	my_addr.sin_port = htons(myport);
	my_addr.sin_addr.s_addr = INADDR_ANY;

	if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr))
		== -1) {
			perror("bind");
			system("pause");
			exit(1);
	} else
		printf("binded\n");

	if (listen(sockfd, lisnum) == -1) {
		perror("listen");
		system("pause");
		exit(1);
	} else
		printf("begin listen\n");

	while (1) {
		SSL *ssl;
		len = sizeof(struct sockaddr);
		/* 等待客户端连上来 */
		if ((new_fd = accept(sockfd, (struct sockaddr *) &their_addr, &len))== -1) {
				perror("accept");
				system("pause");
				exit(errno);
		} else
			printf("server: got connection from %s, port %d, socket %d\n",
			inet_ntoa(their_addr.sin_addr), ntohs(their_addr.sin_port),new_fd);

		/* 基于 ctx 产生一个新的 SSL */
		ssl = SSL_new(ctx);
		/* 将连接用户的 socket 加入到 SSL */
		SSL_set_fd(ssl, new_fd);
		/* 建立 SSL 连接 */
		if (SSL_accept(ssl) == -1) {
			perror("accept");
			close(new_fd);
			system("pause");
			break;
		}
		ShowCerts(ssl);

		/* 开始处理每个新连接上的数据收发 */
		//bzero(buf, MAXBUF + 1);
		memset(buf,0,MAXBUF + 1);
		strcpy(buf, "server->client");
		/* 发消息给客户端 */
		len = SSL_write(ssl, buf, strlen(buf));

		if (len <= 0) {
			printf("消息'%s'发送失败!错误代码是%d,错误信息是'%s'\n", buf, errno,
				strerror(errno));
			goto finish;
		} else
			printf("消息'%s'发送成功,共发送了%d个字节!\n", buf, len);

		memset(buf,0, MAXBUF + 1);
		/* 接收客户端的消息 */
		len = SSL_read(ssl, buf, MAXBUF);
		if (len > 0)
			printf("接收消息成功:'%s',共%d个字节的数据\n", buf, len);
		else
			printf("消息接收失败!错误代码是%d,错误信息是'%s'\n",
			errno, strerror(errno));
		/* 处理每个新连接上的数据收发结束 */
finish:
		/* 关闭 SSL 连接 */
		SSL_shutdown(ssl);
		/* 释放 SSL */
		SSL_free(ssl);
		/* 关闭 socket */
		//close(new_fd);
		WSACleanup();
	}
	/* 关闭监听的 socket */
	close(sockfd);
	/* 释放 CTX */
	SSL_CTX_free(ctx);
	WSACleanup();
}
int _tmain(int argc, _TCHAR* argv[]) {
	
	int alogType=-1;
	printf("服务端---请选择算法:\n");
	printf("1:RSA   2:SM2\n");
	scanf("%d",&alogType);
	if (alogType==1)
	{
		char *rsaCaCertFile="../file/ca.crt";
		char *rsaServerCertFile="../file/server.crt";
		char *rsaServerPrivateFile="../file/server_rsa_private.pem.unsecure";
		strcpy(caCertFilePath,rsaCaCertFile);
		strcpy(serverCertFilePath,rsaServerCertFile);
		strcpy(serverPrivateFilePath,rsaServerPrivateFile);
	}
	else if (alogType==2)
	{
		char *sm2CaCertFile="../SM2_Cert/ca.crt";
		char *sm2ServerCertFile="../SM2_Cert/server.crt";
		char *sm2ServerPrivateFile="../SM2_Cert/server_sm2_private.pem";
		strcpy(caCertFilePath,sm2CaCertFile);
		strcpy(serverCertFilePath,sm2ServerCertFile);
		strcpy(serverPrivateFilePath,sm2ServerPrivateFile);
	}
	
		 
	int type=-1;
	printf("服务端----请选择认证方式:\n");
	printf("1:单向认证   2:双向认证\n");
	scanf("%d",&type);
	switch (type)
	{
	case 1: One_Auth();break;
	case 2: Two_Auth();break;
	default:
		break;
	}
	system("pause");
	return 0;
}

Client代码:

#include "stdafx.h"
#include <stdio.h>
#include <stdlib.h>
#include <errno.h>
#include <string.h>
#include <sys/types.h>
#include <winsock2.h>
#include<ws2tcpip.h>
#include <winsock.h>
#include <io.h>  
#include <process.h>  
#include <windows.h>
#include <openssl/err.h>
#include <openssl/ssl.h>
#pragma warning(disable:4996)
#define MAXBUF 1024
char caCertFilePath[MAX_PATH]={0};      //ca证书路径
char clientCertFilePath[MAX_PATH]={0};  //服务端证书路径
char clientPrivateFilePath[MAX_PATH]={0};	//服务端私钥路径

void ShowCerts(SSL * ssl)
{
	X509 *cert;
	char *line;

	cert = SSL_get_peer_certificate(ssl);
	// SSL_get_verify_result()是重点,SSL_CTX_set_verify()只是配置启不启用并没有执行认证,调用该函数才会真证进行证书认证
	// 如果验证不通过,那么程序抛出异常中止连接
	if(SSL_get_verify_result(ssl) == X509_V_OK){
		printf("证书验证通过\n");
	}
	if (cert != NULL) {
		printf("数字证书信息:\n");
		line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);
		printf("证书: %s\n", line);
		//free(line);
		line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);
		printf("颁发者: %s\n", line);
		//free(line);
		X509_free(cert);
	} else
		printf("无证书信息!\n");
}
void Auth_Two()
{
	int sockfd, len;
	struct sockaddr_in dest;
	char buffer[MAXBUF + 1];
	SSL_CTX *ctx;
	SSL *ssl;
	unsigned int myport;
	char *myip="127.0.0.1";
	myport=7838;
	
	/*if (argc != 5) {
		printf("参数格式错误!正确用法如下:\n\t\t%s IP地址 端口\n\t比如:\t%s 127.0.0.1 80\n此程序用来从某个"
			"IP 地址的服务器某个端口接收最多 MAXBUF 个字节的消息",
			argv[0], argv[0]);
		system("pause");
		exit(0);
	}*/

	/* SSL 库初始化,参看 ssl-server.c 代码 */
	SSL_library_init();
	OpenSSL_add_all_algorithms();
	SSL_load_error_strings();
	ctx = SSL_CTX_new(SSLv23_client_method());
	if (ctx == NULL) {
		ERR_print_errors_fp(stdout);
		system("pause");
		exit(1);
	}

	// 双向验证
	// SSL_VERIFY_PEER---要求对证书进行认证,没有证书也会放行
	// SSL_VERIFY_FAIL_IF_NO_PEER_CERT---要求客户端需要提供证书,但验证发现单独使用没有证书也会放行
	SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER|SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);
	// 设置信任根证书
	if (SSL_CTX_load_verify_locations(ctx, caCertFilePath,NULL)<=0){
		ERR_print_errors_fp(stdout);
		system("pause");
		exit(1);
	}

	/* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 */
/*	FILE *clientf=fopen("../file/client.crt","r");
	char bufStr[5000]={0};
	fread(bufStr,1,5000,clientf);
	fclose(clientf);*/
	if (SSL_CTX_use_certificate_file(ctx, clientCertFilePath, SSL_FILETYPE_PEM) <= 0) {
		ERR_print_errors_fp(stdout);
		system("pause");
		exit(1);
	}
	/* 载入用户私钥 */
	/*FILE *clientRsaf=fopen("../file/client_rsa_private.pem.unsecure","r");
	memset(bufStr,0,5000);
	fread(bufStr,1,5000,clientRsaf);
	fclose(clientRsaf);*/
	if (SSL_CTX_use_PrivateKey_file(ctx, clientPrivateFilePath, SSL_FILETYPE_PEM) <= 0) {
		ERR_print_errors_fp(stdout);
		system("pause");
		exit(1);
	}
	/* 检查用户私钥是否正确 */
	if (!SSL_CTX_check_private_key(ctx)) {
		ERR_print_errors_fp(stdout);
		system("pause");
		exit(1);
	}
	WSADATA wsd;
	int resStartup = WSAStartup(MAKEWORD(2,2),&wsd);
	if(0 != resStartup)
	{
		printf("failed to WSAStartup!\n");
		system("pause");
		exit(1);
	}
	/* 创建一个 socket 用于 tcp 通信 */
	if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {
		perror("Socket");
		system("pause");
		exit(errno);
	}
	printf("socket created\n");

	/* 初始化服务器端(对方)的地址和端口信息 */
	//bzero(&dest, sizeof(dest));
	memset(&dest,0,sizeof(dest));
	dest.sin_family = AF_INET;
	dest.sin_port = htons(myport);
	
	unsigned long l1=0;
	l1=inet_addr(myip);
	in_addr addr1;
	memcpy(&addr1, &l1, 4);
	if (inet_ntoa(addr1) == 0) {
		perror(myip);
		system("pause");
		exit(errno);
	}
	dest.sin_addr=addr1;
	printf("address created\n");

	/* 连接服务器 */
	if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {
		perror("Connect ");
		system("pause");
		exit(errno);
	}
	printf("server connected\n");

	/* 基于 ctx 产生一个新的 SSL */
	ssl = SSL_new(ctx);
	SSL_set_fd(ssl, sockfd);
	/* 建立 SSL 连接 */
	if (SSL_connect(ssl) == -1)
		ERR_print_errors_fp(stderr);
	else {
		printf("Connected with %s encryption\n", SSL_get_cipher(ssl));
		ShowCerts(ssl);
	}

	/* 接收对方发过来的消息,最多接收 MAXBUF 个字节 */
	memset(buffer,0, MAXBUF + 1);
	/* 接收服务器来的消息 */
	len = SSL_read(ssl, buffer, MAXBUF);
	if (len > 0)
		printf("接收消息成功:'%s',共%d个字节的数据\n",
		buffer, len);
	else {
		printf
			("消息接收失败!错误代码是%d,错误信息是'%s'\n",
			errno, strerror(errno));
		goto finish;
	}
	memset(buffer,0, MAXBUF + 1);
	strcpy(buffer, "from client->server");
	/* 发消息给服务器 */
	len = SSL_write(ssl, buffer, strlen(buffer));
	if (len < 0)
		printf
		("消息'%s'发送失败!错误代码是%d,错误信息是'%s'\n",
		buffer, errno, strerror(errno));
	else
		printf("消息'%s'发送成功,共发送了%d个字节!\n",
		buffer, len);

finish:
	/* 关闭连接 */
	SSL_shutdown(ssl);
	SSL_free(ssl);
	//close(sockfd);
	SSL_CTX_free(ctx);
	WSACleanup();
}
void Auth_One()
{
	int sockfd, len;
	struct sockaddr_in dest;
	char buffer[MAXBUF + 1];
	SSL_CTX *ctx;
	SSL *ssl;
	unsigned int myport;
	char *myip="127.0.0.1";
	myport=7838;
	
	/*if (argc != 5) {
		printf("参数格式错误!正确用法如下:\n\t\t%s IP地址 端口\n\t比如:\t%s 127.0.0.1 80\n此程序用来从某个"
			"IP 地址的服务器某个端口接收最多 MAXBUF 个字节的消息",
			argv[0], argv[0]);
		system("pause");
		exit(0);
	}*/

	/* SSL 库初始化,参看 ssl-server.c 代码 */
	SSL_library_init();
	OpenSSL_add_all_algorithms();
	SSL_load_error_strings();
	ctx = SSL_CTX_new(SSLv23_method());
	if (ctx == NULL) {
		ERR_print_errors_fp(stdout);
		system("pause");
		exit(1);
	}

	// 单向验证
	/*// SSL_VERIFY_PEER---要求对证书进行认证,没有证书也会放行
	// SSL_VERIFY_FAIL_IF_NO_PEER_CERT---要求客户端需要提供证书,但验证发现单独使用没有证书也会放行
	SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER|SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);
	// 设置信任根证书
	if (SSL_CTX_load_verify_locations(ctx,rsaCaCertFile,NULL)<=0){
		ERR_print_errors_fp(stdout);
		system("pause");
		exit(1);
	}

	/* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 * /
	if (SSL_CTX_use_certificate_file(ctx, rsaServerCertFile, SSL_FILETYPE_PEM) <= 0) {
		ERR_print_errors_fp(stdout);
		system("pause");
		exit(1);
	}
	/* 载入用户私钥 * /
	if (SSL_CTX_use_PrivateKey_file(ctx, clientPrivateFilePath, SSL_FILETYPE_PEM) <= 0) {
		ERR_print_errors_fp(stdout);
		system("pause");
		exit(1);
	}
	/* 检查用户私钥是否正确 * /
	if (!SSL_CTX_check_private_key(ctx)) {
		ERR_print_errors_fp(stdout);
		system("pause");
		exit(1);
	}*/
	WSADATA wsd;
	int resStartup = WSAStartup(MAKEWORD(2,2),&wsd);
	if(0 != resStartup)
	{
		printf("failed to WSAStartup!\n");
		system("pause");
		exit(1);
	}
	/* 创建一个 socket 用于 tcp 通信 */
	if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {
		perror("Socket");
		system("pause");
		exit(errno);
	}
	printf("socket created\n");

	/* 初始化服务器端(对方)的地址和端口信息 */
	//bzero(&dest, sizeof(dest));
	memset(&dest,0,sizeof(dest));
	dest.sin_family = AF_INET;
	dest.sin_port = htons(myport);
	
	unsigned long l1=0;
	l1=inet_addr(myip);
	in_addr addr1;
	memcpy(&addr1, &l1, 4);
	if (inet_ntoa(addr1) == 0) {
		perror(myip);
		system("pause");
		exit(errno);
	}
	dest.sin_addr=addr1;
	printf("address created\n");

	/* 连接服务器 */
	if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {
		perror("Connect ");
		system("pause");
		exit(errno);
	}
	printf("server connected\n");

	/* 基于 ctx 产生一个新的 SSL */
	ssl = SSL_new(ctx);
	SSL_set_fd(ssl, sockfd);
	/* 建立 SSL 连接 */
	if (SSL_connect(ssl) == -1)
		ERR_print_errors_fp(stderr);
	else {
		printf("Connected with %s encryption\n", SSL_get_cipher(ssl));
		ShowCerts(ssl);
	}

	/* 接收对方发过来的消息,最多接收 MAXBUF 个字节 */
	memset(buffer,0, MAXBUF + 1);
	/* 接收服务器来的消息 */
	len = SSL_read(ssl, buffer, MAXBUF);
	if (len > 0)
		printf("接收消息成功:'%s',共%d个字节的数据\n",
		buffer, len);
	else {
		printf
			("消息接收失败!错误代码是%d,错误信息是'%s'\n",
			errno, strerror(errno));
		goto finish;
	}
	memset(buffer,0, MAXBUF + 1);
	strcpy(buffer, "from client->server");
	/* 发消息给服务器 */
	len = SSL_write(ssl, buffer, strlen(buffer));
	if (len < 0)
		printf
		("消息'%s'发送失败!错误代码是%d,错误信息是'%s'\n",
		buffer, errno, strerror(errno));
	else
		printf("消息'%s'发送成功,共发送了%d个字节!\n",
		buffer, len);

finish:
	/* 关闭连接 */
	SSL_shutdown(ssl);
	SSL_free(ssl);
	//close(sockfd);
	SSL_CTX_free(ctx);
	WSACleanup();
}
int  _tmain(int argc, _TCHAR* argv[])
{
	int alogType=-1;
	printf("客户端---请选择算法:\n");
	printf("1:RSA   2:SM2\n");
	scanf("%d",&alogType);
	if (alogType==1)
	{
		char *rsaCaCertFile="../file/ca.crt";
		char *rsaClientCertFile="../file/client.crt";
		char *rsaClientPrivateFile="../file/client_rsa_private.pem.unsecure";
		strcpy(caCertFilePath,rsaCaCertFile);
		strcpy(clientCertFilePath,rsaClientCertFile);
		strcpy(clientPrivateFilePath,rsaClientPrivateFile);
	}
	else if (alogType==2)
	{
		char *sm2CaCertFile="../SM2_Cert/ca.crt";
		char *sm2ClientCertFile="../SM2_Cert/client.crt";
		char *sm2ClientPrivateFile="../SM2_Cert/client_sm2_private.pem";
		strcpy(caCertFilePath,sm2CaCertFile);
		strcpy(clientCertFilePath,sm2ClientCertFile);
		strcpy(clientPrivateFilePath,sm2ClientPrivateFile);
	}
	int type=-1;
	printf("客户端----请选择认证方式:\n");
	printf("1:单向认证   2:双向认证\n");
	scanf("%d",&type);
	switch (type)
	{
	case 1: Auth_One();break;
	case 2: Auth_Two();break;
	default:
		break;
	}
	system("pause");
	return 0;
}

以上代码RSA和ECC都测试通过了,但是SM2测试时候报错了。

45444:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:ssl\record\rec_layer_s3.c:1528:SSL alert number 40
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 311 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
error in s_client

以上是用命令行进行身份认证时报的错误信息,用上述的代码测试同样会报此类错误信息,在握手的时候直接崩溃

45444:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:ssl\record\rec_layer_s3.c:1528:SSL alert number 40

应该是openssl1.1.1和1.1.1a都是这样的错误,通过抓包可以看到客户端和服务端在握手的时候使用TLS版本不一致在这里插入图片描述
一个是TLS1.2一个是TLS1.3,个人感觉是因为不能识别证书,导致降低了TLS版本,从而不能握手成功,不知道这个是不是openssl1.1.1没有完善的地方,后续如果解决了会及时更新。

提供一个完善的代码和文档下载链接,方便大家研究openssl身份认证
在这里插入图片描述
下载链接:https://download.csdn.net/download/xuebing1995/10947453

欢迎大佬讨论指点。

离水的鱼儿
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 8
    评论
专栏目录
openssl1.1.1RSAECCSM2身份认证Demo及文档
02-01
其中包含openssl1.1.1在win10下编译的方法,以及VSRSAECCSM2身份认证demo源码,以及命令行生成证书的文档。目前openssl1.1.1和1.1.1a测试SM2会报错,原因可能和openssl支持不够有关。
SM2算法的加密签名消息语法规范(四)如何构造envelopedData
lt4959的专栏
01-13 3277
前面的文章中已经介绍了国密规范中的数字信封数据envelopedData类型。接下来讲一下怎么构造出这种类型的数据~~\( ̄︶ ̄)/ 1、构造流程 根据RFC规范,在结合GM/T 0010规范的要求,构造数字信封数据的过程如下: a. 产生一个对应于特定加密算法的内容加密密钥(即会话密钥或对称密钥); b. 将内容加密密钥用每个接收者的公钥加密。(算法为:sm2-3 公钥加密算法 OID:1.2.156.10197.1.301.3) c. 对于每一个接收者,把加了密...
OpenSSL 3.1.1 ECC 加密、解密、签名、验签(国密 sm2、sm3)
Linuxsisohard的博客
06-05 7889
openssl 3 默认废弃了 旧版本 (opessl 1.x) 的部分api 导致部分旧ecc 代码无法使用(可以通过配置编译选项打开)新接口是真的方便,基本上你都不需要懂啥密码学知识,对我们这种密码白痴来说太好了。,这里展示如何使用新接口用ECC 进行加密解密。
利用openssl生成SM2公私钥对
最新发布
07-04 465
openssl 1.1.1+ 版本增加了对SM2 的支持,所以我们就能直接使用这些版本的opsnssl 生成 SM2的公私钥对。首先我们得在Linux 或者Windows服务器中安装对应版本的openssl库,具体过程略。如果查询结果有内容,则说明该版本支持SM2参数,也就可以生成SM2的公私钥对。至此SM2的秘钥对已经生成结束,
sm2格式数字信封加解密详解
热门推荐
Renaissancer的专栏
01-04 1万+
sm2格式数字信封 0、参考链接 密码行业标准化技术委员会 http://www.gmbz.org.cn/main/bzlb.html SM2密码算法使用规范 http://www.gmbz.org.cn/main/viewfile/2018011001400692565.html SM2密码算法应用分析 https://blog.csdn.net/arlaichin/article/details/23708155?utm_source=itdadao&utm_medium=referral
SM2算法的加密签名消息语法规范(一)介绍
lt4959的专栏
01-12 8765
由于最近项目中需要根据国家密码局的规范(GM/T 0010)实现SM2密码算法加密签名消息数据的封装,花了些时间进行了下研究,现属文以记之~(^_−)☆ 接下来先介绍sm2算法的消息语法规范,至于具体如何通过gmssl库去实现消息数据的封装,小编将在之后的文章中逐一讲解。OK, 进入正题~ 首先我们知道PKCS#7中规定了6种数据内容:明文数据(Data)、签名数据(Signed-data),数字信封数据(Enveloped-data),带签名的数字信封数据(Signed-and-envelop...
sm2证书生成(openssl生成公私钥对)—使用
csj50的专栏
03-30 1万+
密钥和命令解析出来的一样。6、写一个main方法。
rsa_sm2测试代码.tar.gz
06-09
数字签名部分则用于验证信息的完整性和发送者的身份,密钥交换部分则用于安全地在两方之间建立共享密钥。 总的来说,这个压缩文件提供的代码示例展示了如何在Android平台上利用OpenSSL库实现SM2算法,这对于理解非...
《国密算法》--ASN.1 文件解析,实现openssl生成的RSA公钥算法密钥文件以及ECC椭圆曲线算法(国密SM2).zip
03-06
个人实战积累的成果,基于国密算法的总结,希望可以帮到您 亲们下载我任何一个付费资源后,即可私信联系我免费下载其他相关资源哦~ 个人实战积累的成果,基于国密算法的总结,希望可以帮到您 亲们下载我任何一个...
支持SM2 SM3 SM4国密算法和国密openssl协议的TASSL
01-29
1. SM2算法:这是一种基于椭圆曲线密码学(ECC)的公钥加密算法,提供了加密、解密、数字签名和验证等功能。相比于RSA等传统公钥算法,SM2在安全性和效率上具有显著优势,尤其是在处理大量数据时。 2. SM3算法:这...
sm2加密,解密,签名,验签,sm3哈希,基于openssl的C语言实现
06-16
在本文中,我们将深入探讨SM2算法的加密、解密、签名和验证签名的原理,以及如何在C语言环境中利用OpenSSL库实现这些操作。 1. SM2加密与解密: SM2加密使用的是ECC中的ElGamal加密方案。首先,双方需要生成一对...
sm2证书生成(openssl生成公私钥对)
csj50的专栏
01-29 7256
1、经查询openssl只有1.1.1这个版本支持国密算法,所以需要编译安装一个。cd到安装目录下的bin目录,使用./openssl调用。指定安装目录,不与系统自带openssl版本使用冲突。(4)私钥pkcs#1转pkcs#8。4、更新动态链接库数据。5、重新加载动态链接库。7、公私钥串生成方式。(2)用私钥生成公钥。
使用openssl 生成RSASM2ECC的P12证书的方法
weixin_39891030的博客
10-09 5057
使用openssl 生成RSASM2ECC的P12证书的方法,使用keytool生成keystore证书
关于国密SM2,SM3,SM4 使用
自豪的爬山虎
03-03 1752
最近做一个猜盲盒(没有示例)对接银行的接口 对报文加签验签使用sm3withsm2算法 数字信封按sm4随机生成一把对称密钥 然后使用sm4密钥对报文进行加密 在使用公钥将其生成数字信封。依据密文生成签名 并以rs编码格式展现 依赖库签名是以ASN.1格式编码。以上为主要实现代码 具体还要根据业务要求。依赖 BouncyCastle 类库。对报文以GBK编码形式进行加密。
openssl命令行生成SM2证书
weixin_43432215的博客
07-09 1701
【代码】openssl命令行生成SM2证书。
本地使用openssl生成一个sm2的私钥,并生成req请求(p10数据),将其作为申请书内容,进行证书的下载
CHYabc123456hh的博客
09-20 4410
本地使用openssl生成一个sm2的私钥,并生成req请求(p10数据),将其作为申请书内容,进行证书的下载,得到了cer和p7b格式的签名和加密证书
openssl sm2 国密算法
ughome的专栏
04-07 1299
openssl sm2 国密算法
SM2算法第四篇:基于Openssl实现SM2秘钥协商协议
刘兵马俑的博客
04-21 8351
这篇博客的背景和目的: 背景:前几篇博客已经搞清楚了,SM2椭圆曲线公钥加密算法是什么,以及如何实现。另外,已经从网上吓到了实现SM2的C语言实现代码。 目的:在windows系统上搭建该C语言实现代码的运行环境。
openssl中下载RSA3072
08-15
OpenSSL中,你无法直接下载RSA-3072算法的实现,因为OpenSSL不提供特定密钥长度的RSA密钥对生成和操作。不过,OpenSSL提供了RSA密钥对的生成函数,你可以使用该函数生成RSA-3072密钥对。 以下是一个使用OpenSSL生成RSA-3072密钥对的示例命令: ```bash openssl genpkey -algorithm RSA -out private_key.pem -pkeyopt rsa_keygen_bits:3072 openssl rsa -pubout -in private_key.pem -out public_key.pem ``` 这个命令将生成一个私钥文件 `private_key.pem` 和相应的公钥文件 `public_key.pem`,其中私钥文件包含RSA-3072私钥,而公钥文件包含对应的公钥。 请注意,这只是一个示例命令,你可以根据需要调整文件名和参数。生成的密钥对文件使用PEM格式存储,你可以使用OpenSSL库或其他工具加载和使用这些密钥。 希望这可以帮助到你!
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

离水的鱼儿

一分也是爱

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值