1.从客户端到服务器的ssl连接的建立过程:
#define CERTFILE_PATH "/root/CA/client.pem"
#define CERTKEY_PATH "/root/CA/clientkey.pem"
#define CACERT_PATH "/root/CA/cacert.pem"
初始化ssl库:
SSL_library_init();
SSL_load_error_strings(); //提供将错误号解析为字符串的功能
OpenSSL_add_all_algorithms(); //支持所有算法
建立ssl上下文(CTX),并进行设置为建立SSL连接作准备:
SSL_METHOD* m_method = SSLv3_method();//SSLv3_client_method();
if(NULL == m_method)
return false;
//根据SSL连接和验证方式建立CTX
mSSL_CTX* m_ctx = SSL_CTX_new(m_method);
if(NULL == m_ctx)
return false;
//载入CA证书
if( SSL_CTX_load_verify_locations(m_ctx,CACERT_PATH, NULL) != 1 )
{
return false;
}
//载入客户端证书
if( SSL_CTX_use_certificate_file(m_ctx, CERTFILE_PATH, SSL_FILETYPE_PEM) != 1)
return false;
//载入certificate_chain_file,这是一个PEM格式的文件,里面依次为客户端证书和CA证书,必须以CA根证书为结尾
if( SSL_CTX_use_certificate_chain_file(m_ctx,CERTCHAIN) != 1)
return false;
//为客户端私钥设置默认密码
SSL_CTX_set_default_passwd_cb_userdata(m_ctx, (void *)CERTKEY_PW);
//载入客户端私钥,如果在上面没有设置默认密码,调用这个函数时openssl会在终端提示用户手动输入密码
if(SSL_CTX_use_PrivateKey_file(m_ctx,MLE_RES_CERTKEY_PATH, SSL_FILETYPE_PEM) !=1 )
return false;
//检查客户端私钥和证书是否匹配
if( SSL_CTX_check_private_key(m_ctx) != 1 )
return false;
//建立SSL
SSL* m_ssl = SSL_new(m_ctx);
if(NULL == m_ssl)
return false;
//绑定普通socket到ssl,这个普通socket必须是已经使用socket的connect函数链接成功了的
if(SSL_set_fd(m_ssl, m_socket) == -1)
return false;
//使用SSL连接服务器
SSL_connect(m_ssl);
//获取连接到的服务器的证书信息,如果服务器不需要证书也会返回NULL
X509 *x590test = SSL_get_peer_certificate(m_ssl);
if(x590test == NULL )
{
return false;
}
//获得服务器证书验证结果,X509_V_OK为验证通过
if(SSL_get_verify_result(m_ssl) != X509_V_OK)
{
return false;
}