公鑰、私鑰、SSL/TLS、會話密鑰、DES

一，公鑰私鑰
1，公鑰和私鑰成對出現
2，公開的密鑰叫公鑰，只有本身知道的叫私鑰
3，用公鑰加密的數據只有對應的私鑰能夠解密
4，用私鑰加密的數據只有對應的公鑰能夠解密
5，若是能夠用公鑰解密，則必然是對應的私鑰加的密
6，若是能夠用私鑰解密，則必然是對應的公鑰加的密


假設一下，我找了兩個數字，一個是1，一個是2。我喜歡2這個數字，就保留起來，不告訴大家，而後我告訴你們，1是個人公鑰。
我有一個文件，不能讓別人看，我就用1加密了。別人找到了這個文件，可是他不知道2就是解密的私鑰啊，因此他解不開，只有我能夠用數字2，就是個人私鑰，來解密。這樣我就能夠保護數據了。

個人好朋友x用個人公鑰1加密了字符a，加密後成了b，放在網上。別人偷到了這個文件，可是別人解不開，由於別人不知道2就是個人私鑰，只有我才能解密，解密後就獲得a。這樣，咱們就能夠傳送加密的數據了。

如今咱們知道用公鑰加密，而後用私鑰來解密，就能夠解決安全傳輸的問題了。若是我用私鑰加密一段數據（固然只有我能夠用私鑰加密，由於只有我知道2是個人私鑰），結果全部的人都看到個人內容了，由於他們都知道個人公鑰是1，那麼這種加密有什麼用處呢？

可是個人好朋友x說有人冒充我給他發信。怎麼辦呢？我把我要發的信，內容是c，用個人私鑰2，加密，加密後的內容是d，發給x，再告訴他解密看是否是c。 他用個人公鑰1解密，發現果真是c。這個時候，他會想到，可以用個人公鑰解密的數據，必然是用個人私鑰加的密。只有我知道我得私鑰，所以他就能夠確認確實 是我發的東西。這樣咱們就能確認發送方身份了。這個過程叫作數字簽名。固然具體的過程要稍微複雜一些。用私鑰來加密數據，用途就是數字簽名。

好，複習一下：
1，公鑰私鑰成對出現
2，私鑰只有我知道
3，你們能夠用個人公鑰給我發加密的信了
4，你們用個人公鑰解密信的內容，看看能不能解開，能解開，說明是通過個人私鑰加密了，就能夠確認確實是我發的了。

總結一下結論：
1，用公鑰加密數據，用私鑰來解密數據
2，用私鑰加密數據（數字簽名），用公鑰來驗證數字簽名。

在實際的使用中，公鑰不會單獨出現，老是以數字證書的方式出現，這樣是爲了公鑰的安全性和有效性。

二，SSL
我和我得好朋友x，要進行安全的通訊。這種通訊能夠是QQ聊天，很頻繁的。用個人公鑰加密數據就不行了，由於：
1，個人好朋友x沒有公私鑰對，我怎麼給他發加密的消息啊？ （注：實際狀況中，能夠雙方都有公私鑰對）
2，用公私鑰加密運算很費時間，很慢，影響QQ效果。

好了，好朋友x，找了一個數字3，用個人公鑰1，加密後發給我，說，咱們之後就用這個數字來加密信息吧。我解開後，獲得了數字3。這樣，只有咱們兩我的知 道這個祕密的數字3，別的人都不知道，由於他們既不知x挑了一個什麼數字，加密後的內容他們也沒法解開，咱們把這個祕密的數字叫作會話密鑰。

而後，咱們選擇一種對稱密鑰算法，好比DES，（對稱算法是說，加密過程和解密過程是對稱的，用一個密鑰加密，能夠用同一個密鑰解密。使用公私鑰的算法是非對稱加密算法），來加密咱們之間的通訊內容。別人由於不知道3是咱們的會話密鑰，於是沒法解密。

好，複習一下：
1，SSL實現安全的通訊
2，通訊雙方使用一方或者雙方的公鑰來傳遞和約定會話密鑰 （這個過程叫作握手）
3，雙方使用會話密鑰，來加密雙方的通訊內容

上面說的是原理。你們可能以爲比較複雜了，實際使用中，比這還要複雜。不過慶幸的是，好心的先行者們在操做系統或者相關的軟件中實現了這層（Layer），而且起了一個難聽的名字叫作SSL，（Secure Socket Layer）

 

ssl 雙向認證和單向認證原理

　　SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全（Transport Layer Security，TLS）是爲網絡通訊提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層對網絡鏈接進行加密。通常的應用都是單向認證，若是 應用場景要求對客戶來源作驗證也能夠實現成雙向認證。

　　爲 了便於更好的認識和理解 SSL 協議，這裏着重介紹 SSL 協議的握手協議。SSL 協議既用到了公鑰加密技術又用到了對稱加密技術，對稱加密技術雖然比公鑰加密技術的速度快，但是公鑰加密技術提供了更好的身份認證技術。SSL 的握手協議很是有效的讓客戶和服務器之間完成相互之間的身份認證，其主要過程以下：

　　① 客戶端的瀏覽器向服務器傳送客戶端 SSL 協議的版本號，加密算法的種類，產生的隨機數，以及其餘服務器和客戶端之間通信所須要的各類信息。
　　② 服務器向客戶端傳送 SSL 協議的版本號，加密算法的種類，隨機數以及其餘相關信息，同時服務器還將向客戶端傳送本身的證書。
　 　③ 客戶利用服務器傳過來的信息驗證服務器的合法性，服務器的合法性包括：證書是否過時，發行服務器證書的 CA 是否可靠，發行者證書的公鑰可否正確解開服務器證書的「發行者的數字簽名」，服務器證書上的域名是否和服務器的實際域名相匹配。若是合法性驗證沒有經過， 通信將斷開；若是合法性驗證經過，將繼續進行第四步。
　　④ 用戶端隨機產生一個用於後面通信的「對稱密碼」，而後用服務器的公鑰（服務器的公鑰從步驟②中的服務器的證書中得到）對其加密，而後將加密後的「預主密碼」傳給服務器。 
　　⑤ 若是服務器要求客戶的身份認證（在握手過程當中爲可選），用戶能夠創建一個隨機數而後對其進行數據簽名，將這個含有簽名的隨機數和客戶本身的證書以及加密過的「預主密碼」一塊兒傳給服務器。 
　 　⑥ 若是服務器要求客戶的身份認證，服務器必須檢驗客戶證書和簽名隨機數的合法性，具體的合法性驗證過程包括：客戶的證書使用日期是否有效，爲客戶提供證書的 CA 是否可靠，發行 CA 的公鑰可否正確解開客戶證書的發行 CA 的數字簽名，檢查客戶的證書是否在證書廢止列表（CRL）中。檢驗若是沒有經過，通信馬上中斷；若是驗證經過，服務器將用本身的私鑰解開加密的「預主密 碼」，而後執行一系列步驟來產生主通信密碼（客戶端也將經過一樣的方法產生相同的主通信密碼）。
　　⑦ 服務器和客戶端用相同的主密碼即「通話密碼」，一個對稱密鑰用於 SSL 協議的安全數據通信的加解密通信。同時在 SSL 通信過程當中還要完成數據通信的完整性，防止數據通信中的任何變化。 
　　⑧ 客戶端向服務器端發出信息，指明後面的數據通信將使用的步驟⑦中的主密碼爲對稱密鑰，同時通知服務器客戶端的握手過程結束。
　　⑨ 服務器向客戶端發出信息，指明後面的數據通信將使用的步驟⑦中的主密碼爲對稱密鑰，同時通知客戶端服務器端的握手過程結束。
　　⑩ SSL 的握手部分結束，SSL 安全通道的數據通信開始，客戶和服務器開始使用相同的對稱密鑰進行數據通信，同時進行通信完整性的檢驗。

  　雙向認證 SSL 協議的具體過程
　　① 瀏覽器發送一個鏈接請求給安全服務器。 
　　② 服務器將本身的證書，以及同證書相關的信息發送給客戶瀏覽器。 
　　③ 客戶瀏覽器檢查服務器送過來的證書是不是由本身信賴的 CA 中心所簽發的。若是是，就繼續執行協議；若是不是，客戶瀏覽器就給客戶一個警告消息：警告客戶這個證書不是能夠信賴的，詢問客戶是否須要繼續。
　　④ 接着客戶瀏覽器比較證書裏的消息，例如域名和公鑰，與服務器剛剛發送的相關消息是否一致，若是是一致的，客戶瀏覽器承認這個服務器的合法身份。 
　　⑤ 服務器要求客戶發送客戶本身的證書。收到後，服務器驗證客戶的證書，若是沒有經過驗證，拒絕鏈接；若是經過驗證，服務器得到用戶的公鑰。 
　　⑥ 客戶瀏覽器告訴服務器本身所可以支持的通信對稱密碼方案。
　　⑦ 服務器從客戶發送過來的密碼方案中，選擇一種加密程度最高的密碼方案，用客戶的公鑰加過密後通知瀏覽器。 
　　⑧ 瀏覽器針對這個密碼方案，選擇一個通話密鑰，接着用服務器的公鑰加過密後發送給服務器。
　　⑨ 服務器接收到瀏覽器送過來的消息，用本身的私鑰解密，得到通話密鑰。 
　　⑩ 服務器、瀏覽器接下來的通信都是用對稱密碼方案，對稱密鑰是加過密的。 
　 　上面所述的是雙向認證 SSL 協議的具體通信過程，這種狀況要求服務器和用戶雙方都有證書。單向認證 SSL 協議不須要客戶擁有 CA 證書，具體的過程相對於上面的步驟，只需將服務器端驗證客戶證書的過程去掉，以及在協商對稱密碼方案，對稱通話密鑰時，服務器發送給客戶的是沒有加過密的 （這並不影響 SSL 過程的安全性）密碼方案。 這樣，雙方具體的通信內容，就是加過密的數據，若是有第三方攻擊，得到的只是加密的數據，第三方要得到有用的信息，就須要對加密的數據進行解密，這時候的 安全就依賴於密碼方案的安全。而幸運的是，目前所用的密碼方案，只要通信密鑰長度足夠的長，就足夠的安全。這也是咱們強調要求使用 128 位加密通信的緣由。

 

證書

OpenSSL創建本身的CA

(1) 環境準備

首先，須要準備一個目錄放置CA文件，包括頒發的證書和CRL(Certificate Revoke List)。
這裏咱們選擇目錄 /var/MyCA。

而後咱們在/var/MyCA下創建兩個目錄，certs用來保存咱們的CA頒發的全部的證書的副本；private用來保存CA證書的私鑰匙。

除了生成鑰匙，在咱們的CA體系中還須要建立三個文件。第一個文件用來跟蹤最後一次頒發的證書的序列號，咱們把它命名爲serial，初始化爲01。第二個文件是一個排序數據庫，用來跟蹤已經頒發的證書。咱們把它命名爲index.txt，文件內容爲空。

$ mkdir /var/MyCA
$ cd /var/MyCA
$ mkdir certs private
$ chmod g-rwx,o-rwx private
$ echo "01" > serial
$ touch index.txt

第三個文件是OpenSSL的配置文件，建立起來要棘手點。示例以下：

$ touch openssl.cnf

文件內容以下：

[ ca ]
default_ca = myca

[ myca ]
dir = /var/MyCA
certificate = $dir/cacert.pem
database = $dir/index.txt
new_certs_dir = $dir/certs
private_key = $dir/private/cakey.pem
serial = $dir/serial

default_crl_days= 7
default_days = 365
default_md = md5

policy = myca_policy
x509_extensions = certificate_extensions

[ myca_policy ]
commonName = supplied
stateOrProvinceName = supplied
countryName = supplied
emailAddress = supplied
organizationName= supplied
organizationalUnitName = optional

[ certificate_extensions ]
basicConstraints= CA:false

[ req ]
default_bits = 2048
default_keyfile = /var/MyCA/private/cakey.pem
default_md = md5
prompt = no
distinguished_name = root_ca_distinguished_name
x509_extensions = root_ca_extensions
[ root_ca_distinguished_name ]
commonName = My Test CA
stateOrProvinceName = HZ
countryName = CN
emailAddress = test@cert.com 
organizationName = Root Certification Authority
[ root_ca_extensions ]
basicConstraints = CA:true

(2) 生成根證書 (Root Certificate)

咱們須要一個證書來爲本身頒發的證書籤名，這個證書可從其餘CA獲取，或者是自簽名的根證書。這裏咱們生成一個自簽名的根證書。

 

$ openssl req -x509 -newkey rsa -out cacert.pem -outform PEM -days 356 -config openssl.cnf

驗證一下咱們生成的文件。

$ openssl x509 -in cacert.pem -text -noout

生成結果：
private/cakey.pem 是CA證書的私鑰文件，
cacert.pem 是CA證書。

 

製做用於CA簽名的CA的私鑰和公鑰文件
[root@localhostssl.crt]#openssl genrsa -des3 -out ca.key 1024
//要求爲key文件輸入密碼(ca.key.password，隨便輸入，能夠和輸入的PEM密碼不一樣)
[root@localhostssl.crt]#openssl req -new -x509 -days 18250-key ca.key -out ca.crt 
//要求輸入密碼以及證書信息。輸入的密碼要與使用的key文件的密碼一致，不然會出錯。

同時須要輸入證書信息。以完成公鑰生成。

 

二、製做服務器證書

a、生成服務器私鑰(server.key)
[root@localhost ssl.crt]#openssl genrsa -des3 -out server.key 1024
輸入加密密碼(server.key.password)，用128位rsa算法密鑰server.key文件
該密碼在部署客戶端密鑰時須要使用。
b、生成服務器證書請求(server.csr)
[root@localhost ssl.crt]#openssl req -new -key server.key -out server.csr
這裏要求輸入的CommonName必須與經過瀏覽器訪問您網站的 URL 徹底相同，不然用戶會發現您服務器證書的通用名與站點的名字不匹配，用戶就會懷疑您的證書的真實性。可使域名也可使IP地址。
c、生成服務器公鑰(證書)
[root@localhost ssl.crt]#openssl ca -in server.csr -days 18250 -out server.crt -cert ca.crt -keyfile ca.key  -config openssl.cnf

d、查看和驗證證書信息

[root@localhost ssl.crt]#openssl x509 -noout -text -in server.crt //查看證書信息
[root@localhost ssl.crt]#openssl verify -CAfile ca.crt server.crt //驗證證書信息

必定要保證驗證經過，沒有報錯或警告信息。不然可能會在使用時出錯。

 

三、製做客戶端證書

a、生成客戶端私鑰(client.key)
[root@localhost ssl.crt]#openssl genrsa -des3 -out client.key 1024
輸入加密密碼(client.key.password)，用128位rsa算法密鑰client.key文件
該密碼在部署客戶端密鑰時須要使用。
b、生成客戶端證書請求(client.csr)
[root@localhost conf]#openssl req -new -key client.key -out client.csr
Common Name 能夠隨便取。
c、生成客戶端公鑰(證書)
[root@localhost ssl.crt]#openssl ca -in client.csr -days 18250 -out client.crt -cert ca.crt -keyfile ca.key  -config openssl.cnf
將證書轉換成瀏覽器可識別的格式：
[root@conf]#openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

須要輸入Export密碼，能夠和Key文件密碼不同。該密碼在客戶端部署KEY文件時須要使用。
d、
[root@localhost ssl.crt]#openssl x509 -noout -text -in client.crt //查看證書信息
[root@localhost ssl.crt]#openssl verify -CAfile ca.crt client.crt //驗證證書信息

必定要保證驗證經過，沒有報錯或警告信息。不然可能會在使用時出錯。

 

 

服務端編寫步驟

 

#include <stdio.h>
#include <stdlib.h>
#include <errno.h>
#include <string.h>
#include <sys/types.h>
#include <netinet/in.h>
#include <sys/socket.h>
#include <sys/wait.h>
#include <unistd.h>
#include <arpa/inet.h>
#include <openssl/ssl.h>
#include <openssl/err.h>

#define MAXBUF 1024
/************關於本文檔********************************************
*filename: ssl-server.c
*purpose: 演示利用 OpenSSL 庫進行基於 IP層的 SSL 加密通信的方法，這是服務器端例子
*wrote by: zhoulifa(zhoulifa@163.com) 周立發(http://zhoulifa.bokee.com)
Linux愛好者 Linux知識傳播者 SOHO族 開發者 最擅長C語言
*date time:2007-02-02 19:40
*Note: 任何人能夠任意複製代碼並運用這些文檔，固然包括你的商業用途
* 但請遵循GPL
*Thanks to:Google
*Hope:但願愈來愈多的人貢獻本身的力量，爲科學技術發展出力
* 科技站在巨人的肩膀上進步更快！感謝有開源前輩的貢獻！
*********************************************************************/
int main(int argc, char **argv)
{
    int sockfd, new_fd;
    socklen_t len;
    struct sockaddr_in my_addr, their_addr;
    unsigned int myport, lisnum;
    char buf[MAXBUF + 1];
    SSL_CTX *ctx;

    if (argv[1])
        myport = atoi(argv[1]);
    else
        myport = 7838;

    if (argv[2])
        lisnum = atoi(argv[2]);
    else
        lisnum = 2;

    /* SSL 庫初始化 */
    SSL_library_init();
    /* 載入全部 SSL 算法 */
    OpenSSL_add_all_algorithms();
    /* 載入全部 SSL 錯誤消息 */
    SSL_load_error_strings();
    /* 以 SSL V2 和 V3 標準兼容方式產生一個 SSL_CTX ，即 SSL Content Text */
    ctx = SSL_CTX_new(SSLv23_server_method());
    /* 也能夠用 SSLv2_server_method() 或 SSLv3_server_method() 單獨表示 V2 或 V3標準 */
    if (ctx == NULL) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }
    /* 載入用戶的數字證書， 此證書用來發送給客戶端。 證書裏包含有公鑰 */
    if (SSL_CTX_use_certificate_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }
    /* 載入用戶私鑰 */
    if (SSL_CTX_use_PrivateKey_file(ctx, argv[5], SSL_FILETYPE_PEM) <= 0) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }
    /* 檢查用戶私鑰是否正確 */
    if (!SSL_CTX_check_private_key(ctx)) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }

    /* 開啓一個 socket 監聽 */
    if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {
        perror("socket");
        exit(1);
    } else
        printf("socket created\n");

    bzero(&my_addr, sizeof(my_addr));
    my_addr.sin_family = PF_INET;
    my_addr.sin_port = htons(myport);
    if (argv[3])
        my_addr.sin_addr.s_addr = inet_addr(argv[3]);
    else
        my_addr.sin_addr.s_addr = INADDR_ANY;

    if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr))
        == -1) {
        perror("bind");
        exit(1);
    } else
        printf("binded\n");

    if (listen(sockfd, lisnum) == -1) {
        perror("listen");
        exit(1);
    } else
        printf("begin listen\n");

    while (1) {
        SSL *ssl;
        len = sizeof(struct sockaddr);
        /* 等待客戶端連上來 */
        if ((new_fd =
             accept(sockfd, (struct sockaddr *) &their_addr,
                    &len)) == -1) {
            perror("accept");
            exit(errno);
        } else
            printf("server: got connection from %s, port %d, socket %d\n",
                   inet_ntoa(their_addr.sin_addr),
                   ntohs(their_addr.sin_port), new_fd);

        /* 基於 ctx 產生一個新的 SSL */
        ssl = SSL_new(ctx);
        /* 將鏈接用戶的 socket 加入到 SSL */
        SSL_set_fd(ssl, new_fd);
        /* 創建 SSL 鏈接 */
        if (SSL_accept(ssl) == -1) {
            perror("accept");
            close(new_fd);
            break;
        }

        /* 開始處理每一個新鏈接上的數據收發 */
        bzero(buf, MAXBUF + 1);
        strcpy(buf, "server->client");
        /* 發消息給客戶端 */
        len = SSL_write(ssl, buf, strlen(buf));

        if (len <= 0) {
            printf
                ("消息'%s'發送失敗！錯誤代碼是%d，錯誤信息是'%s'\n",
                 buf, errno, strerror(errno));
            goto finish;
        } else
            printf("消息'%s'發送成功，共發送了%d個字節！\n",
                   buf, len);

        bzero(buf, MAXBUF + 1);
        /* 接收客戶端的消息 */
        len = SSL_read(ssl, buf, MAXBUF);
        if (len > 0)
            printf("接收消息成功:'%s'，共%d個字節的數據\n",
                   buf, len);
        else
            printf
                ("消息接收失敗！錯誤代碼是%d，錯誤信息是'%s'\n",
                 errno, strerror(errno));
        /* 處理每一個新鏈接上的數據收發結束 */
      finish:
        /* 關閉 SSL 鏈接 */
        SSL_shutdown(ssl);
        /* 釋放 SSL */
        SSL_free(ssl);
        /* 關閉 socket */
        close(new_fd);
    }

    /* 關閉監聽的 socket */
    close(sockfd);
    /* 釋放 CTX */
    SSL_CTX_free(ctx);
    return 0;
}

客戶端編寫步驟

 

#include <string.h>
#include <errno.h>
#include <sys/socket.h>
#include <resolv.h>
#include <stdlib.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <unistd.h>
#include <openssl/ssl.h>
#include <openssl/err.h>

#define MAXBUF 1024

void ShowCerts(SSL * ssl)
{
    X509 *cert;
    char *line;

    cert = SSL_get_peer_certificate(ssl);
    if (cert != NULL) {
        printf("數字證書信息:\n");
        line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);
        printf("證書: %s\n", line);
        free(line);
        line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);
        printf("頒發者: %s\n", line);
        free(line);
        X509_free(cert);
    } else
        printf("無證書信息！\n");
}
/************關於本文檔********************************************
*filename: ssl-client.c
*purpose: 演示利用 OpenSSL 庫進行基於 IP層的 SSL 加密通信的方法，這是客戶端例子
*wrote by: zhoulifa(zhoulifa@163.com) 周立發(http://zhoulifa.bokee.com)
Linux愛好者 Linux知識傳播者 SOHO族 開發者 最擅長C語言
*date time:2007-02-02 20:10
*Note: 任何人能夠任意複製代碼並運用這些文檔，固然包括你的商業用途
* 但請遵循GPL
*Thanks to:Google
*Hope:但願愈來愈多的人貢獻本身的力量，爲科學技術發展出力
* 科技站在巨人的肩膀上進步更快！感謝有開源前輩的貢獻！
*********************************************************************/
int main(int argc, char **argv)
{
    int sockfd, len;
    struct sockaddr_in dest;
    char buffer[MAXBUF + 1];
    SSL_CTX *ctx;
    SSL *ssl;

    if (argc != 3) {
        printf
            ("參數格式錯誤！正確用法以下：\n\t\t%s IP地址 端口\n\t好比:\t%s 127.0.0.1 80
            \n此程序用來從某個 IP 地址的服務器某個端口接收最多 MAXBUF 個字節的消息",
             argv[0], argv[0]);
        exit(0);
    }

    /* SSL 庫初始化，參看 ssl-server.c 代碼 */
    SSL_library_init();
    OpenSSL_add_all_algorithms();
    SSL_load_error_strings();
    ctx = SSL_CTX_new(SSLv23_client_method());
    if (ctx == NULL) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }

    /* 建立一個 socket 用於 tcp 通訊 */
    if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {
        perror("Socket");
        exit(errno);
    }
    printf("socket created\n");

    /* 初始化服務器端（對方）的地址和端口信息 */
    bzero(&dest, sizeof(dest));
    dest.sin_family = AF_INET;
    dest.sin_port = htons(atoi(argv[2]));
    if (inet_aton(argv[1], (struct in_addr *) &dest.sin_addr.s_addr) == 0) {
        perror(argv[1]);
        exit(errno);
    }
    printf("address created\n");

    /* 鏈接服務器 */
    if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {
        perror("Connect ");
        exit(errno);
    }
    printf("server connected\n");

    /* 基於 ctx 產生一個新的 SSL */
    ssl = SSL_new(ctx);
    SSL_set_fd(ssl, sockfd);
    /* 創建 SSL 鏈接 */
    if (SSL_connect(ssl) == -1)
        ERR_print_errors_fp(stderr);
    else {
        printf("Connected with %s encryption\n", SSL_get_cipher(ssl));
        ShowCerts(ssl);
    }

    /* 接收對方發過來的消息，最多接收 MAXBUF 個字節 */
    bzero(buffer, MAXBUF + 1);
    /* 接收服務器來的消息 */
    len = SSL_read(ssl, buffer, MAXBUF);
    if (len > 0)
        printf("接收消息成功:'%s'，共%d個字節的數據\n",
               buffer, len);
    else {
        printf
            ("消息接收失敗！錯誤代碼是%d，錯誤信息是'%s'\n",
             errno, strerror(errno));
        goto finish;
    }
    bzero(buffer, MAXBUF + 1);
    strcpy(buffer, "from client->server");
    /* 發消息給服務器 */
    len = SSL_write(ssl, buffer, strlen(buffer));
    if (len < 0)
        printf
            ("消息'%s'發送失敗！錯誤代碼是%d，錯誤信息是'%s'\n",
             buffer, errno, strerror(errno));
    else
        printf("消息'%s'發送成功，共發送了%d個字節！\n",
               buffer, len);

  finish:
    /* 關閉鏈接 */
    SSL_shutdown(ssl);
    SSL_free(ssl);
    close(sockfd);
    SSL_CTX_free(ctx);
    return 0;
}