libssl-dev 沒有安裝,只要javascript
sudo apt-get install libssl-dev 就能夠了php
筆記整理——使用openssl編程
error: openssl 的全部解決方案 (2013/6/22 17:39:00)
error: openssl/crypto.h: No such file or directory 解決方案 (2013/6/22 17:39:00)
error: openssl/crypto.h: No such file or directory
error: openssl/md5.h: No such file or directory 解決方案
libssl-dev 沒有安裝,只要html
sudo apt-get install libssl-dev 就能夠了java
undefined reference to `MD5'_fengzi_lu的空間_百度空間 - Google Chrome (2013/8/8 15:23:26)
undefined reference to `MD5'
這是由於包含md5函數的庫爲/usr/lib/libcrypto.a(.so),因此編譯時使用 -lcrypto 就OK了。
基於X.509證書和SSL協議的身份認證過程實現 - 菜鳥浮出水 - 51CTO技術博客 - Google Chrome (2013/6/7 17:14:52)
- //client
- #include <winsock2.h>
- #include <conio.h>
- #include <stdio.h>
- #include "openssl/x509.h"
- #include "openssl/ssl.h"
- #include "openssl/err.h"
- #include "openssl/rand.h"
- #define PORT 1111
- #define SERVER "127.0.0.1"
- #define CACERT "ca.crt"
- #define MYCERTF "yuliding.crt"
- #define MYKEYF "yuliding.key"
- #define MSGLENGTH 1024
- int main()
- {
- WSADATA wsadata;
- WSAStartup(MAKEWORD(2,2), &wsadata);
- sockaddr_in sin;
- int seed_int[100]; /*存放隨機序列*/
- SSL*ssl;
- SSL_METHOD *meth;
- SSL_CTX *ctx;
- //SSL初始化
- OpenSSL_add_ssl_algorithms();
- //SSL錯誤信息初始化
- SSL_load_error_strings();
- //建立本次會話所使用的協議
- meth = TLSv1_client_method();
- //申請SSL會話的環境
- ctx = SSL_CTX_new(meth);
- if (NULL == ctx)
- exit(1);
- //設置會話的握手方式並加載CA證書
- SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);
- SSL_CTX_load_verify_locations(ctx, CACERT, NULL);
- //加載本身的證書
- if (0 >= SSL_CTX_use_certificate_file(ctx, MYCERTF, SSL_FILETYPE_PEM)) {
- ERR_print_errors_fp(stderr);
- exit(1);
- }
- //加載本身的私鑰
- if (0 >= SSL_CTX_use_PrivateKey_file(ctx, MYKEYF, SSL_FILETYPE_PEM)) {
- ERR_print_errors_fp(stderr);
- exit(1);
- }
- //檢查本身的證書和私鑰是否匹配
- if (!SSL_CTX_check_private_key(ctx)) {
- printf("Private key does not match the certificate public key\n");
- exit(1);
- }
- /*構建隨機數生成機制,WIN32平臺必需*/
- srand((unsigned)time(NULL));
- for (int i = 0; i < 100; i++)
- seed_int[i] = rand();
- RAND_seed(seed_int, sizeof(seed_int));
- //加密方式
- SSL_CTX_set_cipher_list(ctx, "RC4-MD5");
- //處理握手屢次
- SSL_CTX_set_mode(ctx, SSL_MODE_AUTO_RETRY);
- /*如下是正常的TCP socket創建過程 .............................. */
- SOCKET sock;
- printf("Begin tcp socket...\n");
- sock = socket(AF_INET, SOCK_STREAM, 0);
- if (sock == INVALID_SOCKET) {
- printf("SOCKET有問題. \n");
- }
- memset(&sin, '\0', sizeof(sin));
- sin.sin_family = AF_INET;
- sin.sin_addr.s_addr = inet_addr(SERVER); /* Server IP */
- sin.sin_port = htons(PORT); /* Server Port number */
- int icnn = connect(sock, (sockaddr *)&sin, sizeof(sin));
- if (icnn == SOCKET_ERROR) {
- printf("連不上服務器\n", GetLastError());
- exit(1);
- }
- /* TCP 連接已創建.開始 SSL 握手過程.......................... */
- //綁定套接字
- ssl = SSL_new(ctx);
- if (NULL == ssl)
- exit(1);
- if (0 >= SSL_set_fd(ssl, sock)) {
- printf("Attach to Line fail!\n");
- exit(1);
- }
- //SSL握手
- //SSL_connect(ssl);
- int k = SSL_connect(ssl);
- if (0 >= k) {
- printf("%d\n", k);
- printf("SSL connect fail!\n");
- exit(1);
- }
- printf("鏈接服務器成功\n");
- char sendmsg[MSGLENGTH] = "\0";
- char revmsg[MSGLENGTH] = "\0";
- int err = SSL_read(ssl, revmsg, sizeof(revmsg));
- revmsg[err] = '\0';
- printf("%s\n", revmsg);
- while (1) {
- printf("請輸入所要發送的數據:\n");
- scanf("%s", sendmsg);
- SSL_write(ssl, sendmsg, strlen(sendmsg));
- printf("發送消息「 %s 」成功!\n", sendmsg);
- }
- //關閉套接字
- SSL_shutdown(ssl);
- SSL_free(ssl);
- SSL_CTX_free(ctx);
- closesocket(sock);
- WSACleanup();
- getch();
- return 0;
- }
- //server
- #include <winsock2.h>
- #include <conio.h>
- #include <stdio.h>
- #include <winsock.h>
- #include "openssl/x509.h"
- #include "openssl/ssl.h"
- #include "openssl/err.h"
- #define MSGLENGTH 1024
- #define PORT 1111
- #define CACERT "ca.crt"
- #define SVRCERTF "server.crt"
- #define SVRKEYF "server.key"
- int main()
- {
- WSADATA wsaData;
- WSAStartup(MAKEWORD(2,2), &wsaData);
- SOCKET sock;
- SSL_METHOD *meth;
- SSL_CTX* ctx;
- SSL* ssl;
- //SSL初始化
- OpenSSL_add_ssl_algorithms();
- //SSL錯誤信息初始化
- SSL_load_error_strings();
- //建立本次會話所使用的協議
- meth = TLSv1_server_method();
- //申請SSL會話的環境
- ctx = SSL_CTX_new(meth);
- if (NULL == ctx)
- exit(1);
- //設置會話的握手方式並加載CA證書
- SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);
- SSL_CTX_load_verify_locations(ctx, CACERT, NULL);
- //加載服務器端的證書
- if (0 >= SSL_CTX_use_certificate_file(ctx, SVRCERTF, SSL_FILETYPE_PEM)) {
- ERR_print_errors_fp(stderr);
- exit(1);
- }
- //加載服務器端的私鑰
- if (0 >= SSL_CTX_use_PrivateKey_file(ctx, SVRKEYF, SSL_FILETYPE_PEM)) {
- ERR_print_errors_fp(stderr);
- exit(1);
- }
- //檢查服務器端的證書和私鑰是否匹配
- if (!SSL_CTX_check_private_key(ctx)) {
- printf("Private key does not match the certificate public key\n");
- exit(1);
- }
- //加密方式
- SSL_CTX_set_cipher_list(ctx, "RC4-MD5");
- //處理握手屢次
- SSL_CTX_set_mode(ctx, SSL_MODE_AUTO_RETRY);
- /*如下是正常的TCP socket創建過程 .............................. */
- printf("Begin tcp socket...\n");
- sock = socket(AF_INET, SOCK_STREAM, 0);
- if (sock == INVALID_SOCKET) {
- printf("SOCKET有問題. \n");
- return 0;
- }
- sockaddr_in addr;
- memset(&addr, '\0', sizeof(addr));
- addr.sin_family = AF_INET;
- addr.sin_port = htons(PORT); /* Server Port number */
- addr.sin_addr.s_addr = INADDR_ANY;
- //綁定sock
- int nResult = bind(sock, (sockaddr *)&addr, sizeof(addr));
- if (nResult == SOCKET_ERROR) {
- printf("綁定SOCKET有問題. \n");
- return 0;
- }
- printf("服務器啓動成功,端口:%d\n正在等待鏈接\n", PORT);
- /*接受TCP連接*/
- sockaddr_in sa_cli;
- int err = listen(sock, 5);
- if (-1 == err)
- exit(1);
- int client_len = sizeof(sa_cli);
- int ss = accept(sock, (struct sockaddr *) &sa_cli, &client_len);
- if (ss == -1) {
- exit(1);
- }
- closesocket(sock);
- printf("Connection from %d, port %d\n", sa_cli.sin_addr.s_addr, sa_cli.sin_port);
- /* TCP 連接已創建.開始 SSL 握手過程.......................... */
- //綁定套接字
- ssl = SSL_new(ctx);
- if (NULL == ssl)
- exit(1);
- if (0 >= SSL_set_fd(ssl, ss)) {
- printf("Attach to Line fail!\n");
- exit(1);
- }
- //SSL握手
- //SSL_accept(ssl);
- int k = SSL_accept(ssl);
- if (0 >= k) {
- printf("%d\n", k);
- printf("SSL connect fail!\n");
- exit(1);
- }
- //進行信息驗證
- X509 *client_cert;
- client_cert = SSL_get_peer_certificate(ssl);
- printf("發現客戶端嘗試鏈接\n");
- if (client_cert != NULL) {
- printf ("Client certificate:\n");
- //讀取證書subject名並顯示
- char *str = X509_NAME_oneline(X509_get_subject_name(client_cert), 0, 0);
- if (NULL == str) {
- printf("認證出錯!\n");
- exit(1);
- }
- printf("subject: %s\n", str);
- //讀取證書的issuer名並顯示
- str = X509_NAME_oneline(X509_get_issuer_name(client_cert), 0, 0);
- if (NULL == str) {
- printf("證書名爲空\n");
- exit(1);
- }
- printf("issuer: %s\n", str);
- printf("鏈接成功\n");
- X509_free (client_cert);/*如再也不須要,需將證書釋放 */
- OPENSSL_free(str);
- }
- else {
- printf("找不到客戶端的認證證書\n");
- exit(1);
- }
- char buf[MSGLENGTH];
- SSL_write(ssl, "Server is connect to you!\n", strlen("Server is connect to you!\n"));
- printf("Listen to the client: \n");
- while (1) {
- err = SSL_read(ssl, buf, sizeof(buf));
- buf[err] = '\0';
- printf("%s\n", buf);
- }
- //關閉套接字
- SSL_shutdown(ssl);
- SSL_free(ssl);
- SSL_CTX_free(ctx);
- WSACleanup();
- getch();
- return 0;
- }
用openssl編寫SSL,TLS程序 - bfcyyb - 51CTO技術博客 - Google Chrome (2013/5/31 11:29:25)
用openssl編寫SSL,TLS程序 - bfcyyb - 51CTO技術博客 - Google Chrome (2013/5/31 11:29:25)
2006-05-24 11:15:41
SSL(Secure Socket Layer)是netscape公司提出的主要用於web的安全通訊標準,分爲2.0版和3.0版.TLS(Transport Layer Security)是IETF的TLS 工做組在SSL3.0基礎之上提出的安全通訊標準,目前版本是1.0,即RFC2246.SSL/TLS提供的安全機制能夠保證應用層數據在互聯網絡傳輸不 被監聽,僞造和竄改.
一:簡介:
SSL(Secure Socket Layer)是netscape公司提出的主要用於web的安全通訊標準,分爲2.0版和3.0版.TLS(Transport Layer Security)是IETF的TLS 工做組在SSL3.0基礎之上提出的安全通訊標準,目前版本是1.0,即RFC2246.SSL/TLS提供的安全機制能夠保證應用層數據在互聯網絡傳輸不 被監聽,僞造和竄改.
openssl( www.openssl.org)是sslv2,sslv3,tlsv1的一份完整實現,內部包含了大量加密算法程序.其命令行提供了豐富的加密,驗證,證書生成等功 能,甚至能夠用其創建一個完整的CA.與其同時,它也提供了一套完整的庫函數,可用開發用SSL/TLS的通訊程序. Apache的https兩種版本 mod_ssl和apachessl均基於它實現的.openssl繼承於ssleay,並作了必定的擴展,當前的版本是0.9.5a.
openssl的缺點是文檔太少,連一份完整的函數說明都沒有,man page也至今沒作完整:-(,若是想用它編程序,除了熟悉已有的文檔(包括 ssleay,mod_ssl,apachessl的文檔)外,能夠到它的maillist上找相關的帖子,許多問題能夠在之前的文章中找到答案.
編程:
程序分爲兩部分,客戶端和服務器端,咱們的目的是利用SSL/TLS的特性保證通訊雙方可以互相驗證對方身份(真實性),並保證數據的完整性, 私密性.
1.客戶端程序的框架爲:
/*生成一個SSL結構*/
meth = SSLv23_client_method();
ctx = SSL_CTX_new (meth);
ssl = SSL_new(ctx);
/*下面是正常的socket過程*/
fd = socket();
connect();
/*把創建好的socket和SSL結構聯繫起來*/
SSL_set_fd(ssl,fd);
/*SSL的握手過程*/
SSL_connect(ssl);
/*接下來用SSL_write(), SSL_read()代替原有的write(),read()便可*/
SSL_write(ssl,"Hello world",strlen("Hello World!"));
2.服務端程序的框架爲:
/*生成一個SSL結構*/
meth = SSLv23_server_method();
ctx = SSL_CTX_new (meth);
ssl = SSL_new(ctx);
/*下面是正常的socket過程*/
fd = socket();
bind();
listen();
accept();
/*把創建好的socket和SSL結構聯繫起來*/
SSL_set_fd(ssl,fd);
/*SSL的握手過程*/
SSL_connect(ssl);
/*接下來用SSL_write(), SSL_read()代替原有的write(),read()便可*/
SSL_read (ssl, buf, sizeof(buf));
根據RFC2246(TLS1.0)整個TLS(SSL)的流程以下:
Client Server
ClientHello -------->
ServerHello
Certificate*
ServerKeyExchange*
CertificateRequest*
<-------- ServerHelloDone
Certificate*
ClientKeyExchange
CertificateVerify*
[ChangeCipherSpec]
Finished -------->
[ChangeCipherSpec]
<-------- Finished
Application Data <-------> Application Data
對程序來講,openssl將整個握手過程用一對函數體現,即客戶端的SSL_connect和服務端的SSL_accept.然後的應用層數據交換則用SSL_read和 SSL_write來完成.
二:證書文件生成
除將程序編譯成功外,還需生成必要的證書和私鑰文件使雙方可以成功驗證對方,步驟以下:
1.首先要生成服務器端的私鑰(key文件):
openssl genrsa -des3 -out server.key 1024
運行時會提示輸入密碼,此密碼用於加密key文件(參數des3即是指加密算法,固然也能夠選用其餘你認爲安全的算法.),之後每當需讀取此文 件(經過openssl提供的命令或API)都需輸入口令.若是以爲不方便,也能夠去除這個口令,但必定要採起其餘的保護措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key
2.openssl req -new -key server.key -out server.csr
生成Certificate Signing Request(CSR),生成的csr文件交給CA簽名後造成服務端本身的證書.屏幕上將有提示,依照其指示一步一步輸入要 求的我的信息便可.
3.對客戶端也做一樣的命令生成key及csr文件:
openssl genrsa -des3 -out client.key 1024
openssl req -new -key client.key -out client.csr
4.CSR文件必須有CA的簽名纔可造成證書.可將此文件發送到verisign等地方由它驗證,要交一大筆錢,何不本身作CA呢.
首先生成CA的key文件:
openssl -des3 -out ca.key 1024
在生成CA自簽名的證書:
openssl req -new -x509 -key ca.key -out ca.crt
若是想讓此證書有個期限,如一年,則加上"-days 365".
("若是非要爲這個證書加上一個期限,我情願是..一萬年")
5.用生成的CA的證書爲剛纔生成的server.csr,client.csr文件簽名:
能夠用openssl中CA系列命令,但不是很好用(也不是多難,唉,一言難盡),一篇文章中推薦用mod_ssl中的sign.sh腳本,試了一下,確實方便了不 少,若是ca.csr存在的話,只需:
./sigh.sh server.csr
./sign.sh client.csr
相應的證書便生成了(後綴.crt).
如今咱們所需的所有文件便生成了.
其實openssl中還附帶了一個叫CA.pl的文件(在安裝目錄中的misc子目錄下),可用其生成以上的文件,使用也比較方便,但此處就不做介紹了.
三:須要瞭解的一些函數:
1.int SSL_CTX_set_cipher_list(SSL_CTX *,const char *str);
根據SSL/TLS規範,在ClientHello中,客戶端會提交一份本身可以支持的加密方法的列表,由服務端選擇一種方法後在ServerHello中通知服務端, 從而完成加密算法的協商.
可用的算法爲:
EDH-RSA-DES-CBC3-SHA
EDH-DSS-DES-CBC3-SHA
DES-CBC3-SHA
DHE-DSS-RC4-SHA
IDEA-CBC-SHA
RC4-SHA
RC4-MD5
EXP1024-DHE-DSS-RC4-SHA
EXP1024-RC4-SHA
EXP1024-DHE-DSS-DES-CBC-SHA
EXP1024-DES-CBC-SHA
EXP1024-RC2-CBC-MD5
EXP1024-RC4-MD5
EDH-RSA-DES-CBC-SHA
EDH-DSS-DES-CBC-SHA
DES-CBC-SHA
EXP-EDH-RSA-DES-CBC-SHA
EXP-EDH-DSS-DES-CBC-SHA
EXP-DES-CBC-SHA
EXP-RC2-CBC-MD5
EXP-RC4-MD5
這些算法按必定優先級排列,若是不做任何指定,將選用DES-CBC3-SHA.用SSL_CTX_set_cipher_list能夠指定本身但願用的算法(實際上只是 提升其優先級,是否能使用還要看對方是否支持).
咱們在程序中選用了RC4作加密,MD5作消息摘要(先進行MD5運算,後進行RC4加密).即
SSL_CTX_set_cipher_list(ctx,"RC4-MD5");
在消息傳輸過程當中採用對稱加密(比公鑰加密在速度上有極大的提升),其所用祕鑰(shared secret)在握手過程當中中協商(每次對話過程均不一樣, 在一次對話中都有可能有幾回改變),並經過公鑰加密的手段由客戶端提交服務端.
2.void SSL_CTX_set_verify(SSL_CTX *ctx,int mode,int (*callback)(int, X509_STORE_CTX *));
缺省mode是SSL_VERIFY_NONE,若是想要驗證對方的話,便要將此項變成SSL_VERIFY_PEER.SSL/TLS中缺省只驗證server,若是沒有設置 SSL_VERIFY_PEER的話,客戶端連證書都不會發過來.
3.int SSL_CTX_load_verify_locations(SSL_CTX *ctx, const char *CAfile,const char *CApath);
要驗證對方的話,固然裝要有CA的證書了,此函數用來即是加載CA的證書文件的.
4.int SSL_CTX_use_certificate_file(SSL_CTX *ctx, const char *file, int type);
加載本身的證書文件.
5.int SSL_CTX_use_PrivateKey_file(SSL_CTX *ctx, const char *file, int type);
加載本身的私鑰,以用於簽名.
6.int SSL_CTX_check_private_key(SSL_CTX *ctx);
調用了以上兩個函數後,本身檢驗一下證書與私鑰是否配對.
7.void RAND_seed(const void *buf,int num);
在win32的環境中client程序運行時出錯(SSL_connect返回-1)的一個主要機制即是與UNIX平臺下的隨機數生成機制不一樣(握手的時候用的到). 具體描述可見mod_ssl的FAQ.解決辦法就是調用此函數,其中buf應該爲一隨機的字符串,做爲"seed".
還能夠採用一下兩個函數:
void RAND_screen(void);
int RAND_event(UINT, WPARAM, LPARAM);
其中RAND_screen()以屏幕內容做爲"seed"產生隨機數,RAND_event能夠捕獲windows中的事件(event),以此爲基礎產生隨機數.若是一直有 用戶干預的話,用這種辦法產生的隨機數可以"更加隨機",但若是機器一直沒人理(如總停在登陸畫面),則每次都將產生一樣的數字.
這幾個函數都只在WIN32環境下編譯時有用,各類UNIX下就沒必要調了.
大量其餘的相關函數原型,見cryptorandrand.h.
8.OpenSSL_add_ssl_algorithms()或SSLeay_add_ssl_algorithms()
其實都是調用int SSL_library_init(void)
進行一些必要的初始化工做,用openssl編寫SSL/TLS程序的話第一句便應是它.
9.void SSL_load_error_strings(void );
若是想打印出一些方便閱讀的調試信息的話,便要在一開始調用此函數.
10.void ERR_print_errors_fp(FILE *fp);
若是調用了SSL_load_error_strings()後,即可以隨時用ERR_print_errors_fp()來打印錯誤信息了.
11.X509 *SSL_get_peer_certificate(SSL *s);
握手完成後,即可以用此函數從SSL結構中提取出對方的證書(此時證書獲得且已經驗證過了)整理成X509結構.
12.X509_NAME *X509_get_subject_name(X509 *a);
獲得證書全部者的名字,參數可用經過SSL_get_peer_certificate()獲得的X509對象.
13.X509_NAME *X509_get_issuer_name(X509 *a)
獲得證書籤署者(每每是CA)的名字,參數可用經過SSL_get_peer_certificate()獲得的X509對象.
14.char *X509_NAME_oneline(X509_NAME *a,char *buf,int size);
將以上兩個函數獲得的對象變成字符型,以便打印出來.
15.SSL_METHOD的構造函數,包括
SSL_METHOD *TLSv1_server_method(void); /* TLSv1.0 */
SSL_METHOD *TLSv1_client_method(void); /* TLSv1.0 */
SSL_METHOD *SSLv2_server_method(void); /* SSLv2 */
SSL_METHOD *SSLv2_client_method(void); /* SSLv2 */
SSL_METHOD *SSLv3_server_method(void); /* SSLv3 */
SSL_METHOD *SSLv3_client_method(void); /* SSLv3 */
SSL_METHOD *SSLv23_server_method(void); /* SSLv3 but can rollback to v2 */
SSL_METHOD *SSLv23_client_method(void); /* SSLv3 but can rollback to v2 */
在程序中究竟採用哪種協議(TLSv1/SSLv2/SSLv3),就看調哪一組構造函數了.
四:程序源代碼(WIN32版本):
基本上是改造的openssl自帶的demos目錄下的cli.cpp,serv.cpp文件,作了一些修改,並增長了一些功能.
/******************************************************************************************
*SSL/TLS客戶端程序WIN32版(以demos/cli.cpp爲基礎)
*須要用到動態鏈接庫libeay32.dll,ssleay.dll,
*同時在setting中加入ws2_32.lib libeay32.lib ssleay32.lib,
*以上庫文件在編譯openssl後可在out32dll目錄下找到,
*所需證書文件請參照文章自行生成*/
******************************************************************************************/
#include <stdio.h>
#include <stdlib.h>
#include <memory.h>
#include <errno.h>
#include <sys/types.h>
#include <winsock2.h>
#include "openssl/rsa.h"
#include "openssl/crypto.h"
#include "openssl/x509.h"
#include "openssl/pem.h"
#include "openssl/ssl.h"
#include "openssl/err.h"
#include "openssl/rand.h"
/*全部須要的參數信息都在此處以#define的形式提供*/
#define CERTF "client.crt" /*客戶端的證書(需經CA簽名)*/
#define KEYF "client.key" /*客戶端的私鑰(建議加密存儲)*/
#define CACERT "ca.crt" /*CA 的證書*/
#define PORT 1111 /*服務端的端口*/
#define SERVER_ADDR "127.0.0.1" /*服務段的IP地址*/
#define CHK_NULL(x) if ((x)==NULL) exit (-1)
#define CHK_ERR(err,s) if ((err)==-1) { perror(s); exit(-2); }
#define CHK_SSL(err) if ((err)==-1) { ERR_print_errors_fp(stderr); exit(-3); }
int main ()
{
int err;
int sd;
struct sockaddr_in sa;
SSL_CTX* ctx;
SSL* ssl;
X509* server_cert;
char* str;
char buf [4096];
SSL_METHOD *meth;
int seed_int[100]; /*存放隨機序列*/
WSADATA wsaData;
if(WSAStartup(MAKEWORD(2,2),&wsaData) != 0){
printf("WSAStartup()fail:%dn",GetLastError());
return -1;
}
OpenSSL_add_ssl_algorithms(); /*初始化*/
SSL_load_error_strings(); /*爲打印調試信息做準備*/
meth = TLSv1_client_method(); /*採用什麼協議(SSLv2/SSLv3/TLSv1)在此指定*/
ctx = SSL_CTX_new (meth);
CHK_NULL(ctx);
SSL_CTX_set_verify(ctx,SSL_VERIFY_PEER,NULL); /*驗證與否*/
SSL_CTX_load_verify_locations(ctx,CACERT,NULL); /*若驗證,則放置CA證書*/
if (SSL_CTX_use_certificate_file(ctx, CERTF, SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(-2);
}
if (SSL_CTX_use_PrivateKey_file(ctx, KEYF, SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(-3);
}
if (!SSL_CTX_check_private_key(ctx)) {
printf("Private key does not match the certificate public keyn");
exit(-4);
}
/*構建隨機數生成機制,WIN32平臺必需*/
srand( (unsigned)time( NULL ) );
for( int i = 0; i < 100;i++ )
seed_int[i] = rand();
RAND_seed(seed_int, sizeof(seed_int));
/*如下是正常的TCP socket創建過程 .............................. */
printf("Begin tcp socket...n");
sd = socket (AF_INET, SOCK_STREAM, 0); CHK_ERR(sd, "socket");
memset (&sa, '', sizeof(sa));
sa.sin_family = AF_INET;
sa.sin_addr.s_addr = inet_addr (SERVER_ADDR); /* Server IP */
sa.sin_port = htons (PORT); /* Server Port number */
err = connect(sd, (struct sockaddr*) &sa,
sizeof(sa));
CHK_ERR(err, "connect");
/* TCP 連接已創建.開始 SSL 握手過程.......................... */
printf("Begin SSL negotiation n");
ssl = SSL_new (ctx);
CHK_NULL(ssl);
SSL_set_fd (ssl, sd);
err = SSL_connect (ssl);
CHK_SSL(err);
/*打印全部加密算法的信息(可選)*/
printf ("SSL connection using %sn", SSL_get_cipher (ssl));
/*獲得服務端的證書並打印些信息(可選) */
server_cert = SSL_get_peer_certificate (ssl);
CHK_NULL(server_cert);
printf ("Server certificate:n");
str = X509_NAME_oneline (X509_get_subject_name (server_cert),0,0);
CHK_NULL(str);
printf ("t subject: %sn", str);
Free (str);
str = X509_NAME_oneline (X509_get_issuer_name (server_cert),0,0);
CHK_NULL(str);
printf ("t issuer: %sn", str);
Free (str);
X509_free (server_cert); /*如再也不須要,需將證書釋放 */
/* 數據交換開始,用SSL_write,SSL_read代替write,read */
printf("Begin SSL data exchangen");
err = SSL_write (ssl, "Hello World!", strlen("Hello World!"));
CHK_SSL(err);
err = SSL_read (ssl, buf, sizeof(buf) - 1);
CHK_SSL(err);
buf[err] = '';
printf ("Got %d chars:'%s'n", err, buf);
SSL_shutdown (ssl); /* send SSL/TLS close_notify */
/* 收尾工做 */
shutdown (sd,2);
SSL_free (ssl);
SSL_CTX_free (ctx);
return 0;
}
/***************************************************************************************
* EOF - cli.cpp
***************************************************************************************/
/***************************************************************************************
*SSL/TLS服務端程序WIN32版(以demos/server.cpp爲基礎)
*須要用到動態鏈接庫libeay32.dll,ssleay.dll,
*同時在setting中加入ws2_32.lib libeay32.lib ssleay32.lib,
*以上庫文件在編譯openssl後可在out32dll目錄下找到,
*所需證書文件請參照文章自行生成.
***************************************************************************************/
#include <stdio.h>
#include <stdlib.h>
#include <memory.h>
#include <errno.h>
#include <sys/types.h>
#include <winsock2.h>
#include "openssl/rsa.h"
#include "openssl/crypto.h"
#include "openssl/x509.h"
#include "openssl/pem.h"
#include "openssl/ssl.h"
#include "openssl/err.h"
/*全部須要的參數信息都在此處以#define的形式提供*/
#define CERTF "server.crt" /*服務端的證書(需經CA簽名)*/
#define KEYF "server.key" /*服務端的私鑰(建議加密存儲)*/
#define CACERT "ca.crt" /*CA 的證書*/
#define PORT 1111 /*準備綁定的端口*/
#define CHK_NULL(x) if ((x)==NULL) exit (1)
#define CHK_ERR(err,s) if ((err)==-1) { perror(s); exit(1); }
#define CHK_SSL(err) if ((err)==-1) { ERR_print_errors_fp(stderr); exit(2); }
int main ()
{
int err;
int listen_sd;
int sd;
struct sockaddr_in sa_serv;
struct sockaddr_in sa_cli;
int client_len;
SSL_CTX* ctx;
SSL* ssl;
X509* client_cert;
char* str;
char buf [4096];
SSL_METHOD *meth;
WSADATA wsaData;
if(WSAStartup(MAKEWORD(2,2),&wsaData) != 0){
printf("WSAStartup()fail:%dn",GetLastError());
return -1;
}
SSL_load_error_strings(); /*爲打印調試信息做準備*/
OpenSSL_add_ssl_algorithms(); /*初始化*/
meth = TLSv1_server_method(); /*採用什麼協議(SSLv2/SSLv3/TLSv1)在此指定*/
ctx = SSL_CTX_new (meth);
CHK_NULL(ctx);
SSL_CTX_set_verify(ctx,SSL_VERIFY_PEER,NULL); /*驗證與否*/
SSL_CTX_load_verify_locations(ctx,CACERT,NULL); /*若驗證,則放置CA證書*/
if (SSL_CTX_use_certificate_file(ctx, CERTF, SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(3);
}
if (SSL_CTX_use_PrivateKey_file(ctx, KEYF, SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(4);
}
if (!SSL_CTX_check_private_key(ctx)) {
printf("Private key does not match the certificate public keyn");
exit(5);
}
SSL_CTX_set_cipher_list(ctx,"RC4-MD5");
/*開始正常的TCP socket過程.................................*/
printf("Begin TCP socket...n");
listen_sd = socket (AF_INET, SOCK_STREAM, 0);
CHK_ERR(listen_sd, "socket");
memset (&sa_serv, '', sizeof(sa_serv));
sa_serv.sin_family = AF_INET;
sa_serv.sin_addr.s_addr = INADDR_ANY;
sa_serv.sin_port = htons (PORT);
err = bind(listen_sd, (struct sockaddr*) &sa_serv,
sizeof (sa_serv));
CHK_ERR(err, "bind");
/*接受TCP連接*/
err = listen (listen_sd, 5);
CHK_ERR(err, "listen");
client_len = sizeof(sa_cli);
sd = accept (listen_sd, (struct sockaddr*) &sa_cli, &client_len);
CHK_ERR(sd, "accept");
closesocket (listen_sd);
printf ("Connection from %lx, port %xn",
sa_cli.sin_addr.s_addr, sa_cli.sin_port);
/*TCP鏈接已創建,進行服務端的SSL過程. */
printf("Begin server side SSLn");
ssl = SSL_new (ctx);
CHK_NULL(ssl);
SSL_set_fd (ssl, sd);
err = SSL_accept (ssl);
printf("SSL_accept finishedn");
CHK_SSL(err);
/*打印全部加密算法的信息(可選)*/
printf ("SSL connection using %sn", SSL_get_cipher (ssl));
/*獲得服務端的證書並打印些信息(可選) */
client_cert = SSL_get_peer_certificate (ssl);
if (client_cert != NULL) {
printf ("Client certificate:n");
str = X509_NAME_oneline (X509_get_subject_name (client_cert), 0, 0);
CHK_NULL(str);
printf ("t subject: %sn", str);
Free (str);
str = X509_NAME_oneline (X509_get_issuer_name (client_cert), 0, 0);
CHK_NULL(str);
printf ("t issuer: %sn", str);
Free (str);
X509_free (client_cert);/*如再也不須要,需將證書釋放 */
}
else
printf ("Client does not have certificate.n");
/* 數據交換開始,用SSL_write,SSL_read代替write,read */
err = SSL_read (ssl, buf, sizeof(buf) - 1);
CHK_SSL(err);
buf[err] = '';
printf ("Got %d chars:'%s'n", err, buf);
err = SSL_write (ssl, "I hear you.", strlen("I hear you."));
CHK_SSL(err);
/* 收尾工做*/
shutdown (sd,2);
SSL_free (ssl);
SSL_CTX_free (ctx);
return 0;
}
/*****************************************************************
* EOF - serv.cpp
*****************************************************************/
五.參考文獻
1.SSL規範(draft302)
2.TLS標準(rfc2246)
3.openssl源程序及文檔
4.SSLeay Programmer Reference
5.Introducing SSL and Certificates using SSLeay
一:簡介:
SSL(Secure Socket Layer)是netscape公司提出的主要用於web的安全通訊標準,分爲2.0版和3.0版.TLS(Transport Layer Security)是IETF的TLS 工做組在SSL3.0基礎之上提出的安全通訊標準,目前版本是1.0,即RFC2246.SSL/TLS提供的安全機制能夠保證應用層數據在互聯網絡傳輸不 被監聽,僞造和竄改.
openssl( www.openssl.org)是sslv2,sslv3,tlsv1的一份完整實現,內部包含了大量加密算法程序.其命令行提供了豐富的加密,驗證,證書生成等功 能,甚至能夠用其創建一個完整的CA.與其同時,它也提供了一套完整的庫函數,可用開發用SSL/TLS的通訊程序. Apache的https兩種版本 mod_ssl和apachessl均基於它實現的.openssl繼承於ssleay,並作了必定的擴展,當前的版本是0.9.5a.
openssl的缺點是文檔太少,連一份完整的函數說明都沒有,man page也至今沒作完整:-(,若是想用它編程序,除了熟悉已有的文檔(包括 ssleay,mod_ssl,apachessl的文檔)外,能夠到它的maillist上找相關的帖子,許多問題能夠在之前的文章中找到答案.
編程:
程序分爲兩部分,客戶端和服務器端,咱們的目的是利用SSL/TLS的特性保證通訊雙方可以互相驗證對方身份(真實性),並保證數據的完整性, 私密性.
1.客戶端程序的框架爲:
/*生成一個SSL結構*/
meth = SSLv23_client_method();
ctx = SSL_CTX_new (meth);
ssl = SSL_new(ctx);
/*下面是正常的socket過程*/
fd = socket();
connect();
/*把創建好的socket和SSL結構聯繫起來*/
SSL_set_fd(ssl,fd);
/*SSL的握手過程*/
SSL_connect(ssl);
/*接下來用SSL_write(), SSL_read()代替原有的write(),read()便可*/
SSL_write(ssl,"Hello world",strlen("Hello World!"));
2.服務端程序的框架爲:
/*生成一個SSL結構*/
meth = SSLv23_server_method();
ctx = SSL_CTX_new (meth);
ssl = SSL_new(ctx);
/*下面是正常的socket過程*/
fd = socket();
bind();
listen();
accept();
/*把創建好的socket和SSL結構聯繫起來*/
SSL_set_fd(ssl,fd);
/*SSL的握手過程*/
SSL_connect(ssl);
/*接下來用SSL_write(), SSL_read()代替原有的write(),read()便可*/
SSL_read (ssl, buf, sizeof(buf));
根據RFC2246(TLS1.0)整個TLS(SSL)的流程以下:
Client Server
ClientHello -------->
ServerHello
Certificate*
ServerKeyExchange*
CertificateRequest*
<-------- ServerHelloDone
Certificate*
ClientKeyExchange
CertificateVerify*
[ChangeCipherSpec]
Finished -------->
[ChangeCipherSpec]
<-------- Finished
Application Data <-------> Application Data
對程序來講,openssl將整個握手過程用一對函數體現,即客戶端的SSL_connect和服務端的SSL_accept.然後的應用層數據交換則用SSL_read和 SSL_write來完成.
二:證書文件生成
除將程序編譯成功外,還需生成必要的證書和私鑰文件使雙方可以成功驗證對方,步驟以下:
1.首先要生成服務器端的私鑰(key文件):
openssl genrsa -des3 -out server.key 1024
運行時會提示輸入密碼,此密碼用於加密key文件(參數des3即是指加密算法,固然也能夠選用其餘你認爲安全的算法.),之後每當需讀取此文 件(經過openssl提供的命令或API)都需輸入口令.若是以爲不方便,也能夠去除這個口令,但必定要採起其餘的保護措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key
2.openssl req -new -key server.key -out server.csr
生成Certificate Signing Request(CSR),生成的csr文件交給CA簽名後造成服務端本身的證書.屏幕上將有提示,依照其指示一步一步輸入要 求的我的信息便可.
3.對客戶端也做一樣的命令生成key及csr文件:
openssl genrsa -des3 -out client.key 1024
openssl req -new -key client.key -out client.csr
4.CSR文件必須有CA的簽名纔可造成證書.可將此文件發送到verisign等地方由它驗證,要交一大筆錢,何不本身作CA呢.
首先生成CA的key文件:
openssl -des3 -out ca.key 1024
在生成CA自簽名的證書:
openssl req -new -x509 -key ca.key -out ca.crt
若是想讓此證書有個期限,如一年,則加上"-days 365".
("若是非要爲這個證書加上一個期限,我情願是..一萬年")
5.用生成的CA的證書爲剛纔生成的server.csr,client.csr文件簽名:
能夠用openssl中CA系列命令,但不是很好用(也不是多難,唉,一言難盡),一篇文章中推薦用mod_ssl中的sign.sh腳本,試了一下,確實方便了不 少,若是ca.csr存在的話,只需:
./sigh.sh server.csr
./sign.sh client.csr
相應的證書便生成了(後綴.crt).
如今咱們所需的所有文件便生成了.
其實openssl中還附帶了一個叫CA.pl的文件(在安裝目錄中的misc子目錄下),可用其生成以上的文件,使用也比較方便,但此處就不做介紹了.
三:須要瞭解的一些函數:
1.int SSL_CTX_set_cipher_list(SSL_CTX *,const char *str);
根據SSL/TLS規範,在ClientHello中,客戶端會提交一份本身可以支持的加密方法的列表,由服務端選擇一種方法後在ServerHello中通知服務端, 從而完成加密算法的協商.
可用的算法爲:
EDH-RSA-DES-CBC3-SHA
EDH-DSS-DES-CBC3-SHA
DES-CBC3-SHA
DHE-DSS-RC4-SHA
IDEA-CBC-SHA
RC4-SHA
RC4-MD5
EXP1024-DHE-DSS-RC4-SHA
EXP1024-RC4-SHA
EXP1024-DHE-DSS-DES-CBC-SHA
EXP1024-DES-CBC-SHA
EXP1024-RC2-CBC-MD5
EXP1024-RC4-MD5
EDH-RSA-DES-CBC-SHA
EDH-DSS-DES-CBC-SHA
DES-CBC-SHA
EXP-EDH-RSA-DES-CBC-SHA
EXP-EDH-DSS-DES-CBC-SHA
EXP-DES-CBC-SHA
EXP-RC2-CBC-MD5
EXP-RC4-MD5
這些算法按必定優先級排列,若是不做任何指定,將選用DES-CBC3-SHA.用SSL_CTX_set_cipher_list能夠指定本身但願用的算法(實際上只是 提升其優先級,是否能使用還要看對方是否支持).
咱們在程序中選用了RC4作加密,MD5作消息摘要(先進行MD5運算,後進行RC4加密).即
SSL_CTX_set_cipher_list(ctx,"RC4-MD5");
在消息傳輸過程當中採用對稱加密(比公鑰加密在速度上有極大的提升),其所用祕鑰(shared secret)在握手過程當中中協商(每次對話過程均不一樣, 在一次對話中都有可能有幾回改變),並經過公鑰加密的手段由客戶端提交服務端.
2.void SSL_CTX_set_verify(SSL_CTX *ctx,int mode,int (*callback)(int, X509_STORE_CTX *));
缺省mode是SSL_VERIFY_NONE,若是想要驗證對方的話,便要將此項變成SSL_VERIFY_PEER.SSL/TLS中缺省只驗證server,若是沒有設置 SSL_VERIFY_PEER的話,客戶端連證書都不會發過來.
3.int SSL_CTX_load_verify_locations(SSL_CTX *ctx, const char *CAfile,const char *CApath);
要驗證對方的話,固然裝要有CA的證書了,此函數用來即是加載CA的證書文件的.
4.int SSL_CTX_use_certificate_file(SSL_CTX *ctx, const char *file, int type);
加載本身的證書文件.
5.int SSL_CTX_use_PrivateKey_file(SSL_CTX *ctx, const char *file, int type);
加載本身的私鑰,以用於簽名.
6.int SSL_CTX_check_private_key(SSL_CTX *ctx);
調用了以上兩個函數後,本身檢驗一下證書與私鑰是否配對.
7.void RAND_seed(const void *buf,int num);
在win32的環境中client程序運行時出錯(SSL_connect返回-1)的一個主要機制即是與UNIX平臺下的隨機數生成機制不一樣(握手的時候用的到). 具體描述可見mod_ssl的FAQ.解決辦法就是調用此函數,其中buf應該爲一隨機的字符串,做爲"seed".
還能夠採用一下兩個函數:
void RAND_screen(void);
int RAND_event(UINT, WPARAM, LPARAM);
其中RAND_screen()以屏幕內容做爲"seed"產生隨機數,RAND_event能夠捕獲windows中的事件(event),以此爲基礎產生隨機數.若是一直有 用戶干預的話,用這種辦法產生的隨機數可以"更加隨機",但若是機器一直沒人理(如總停在登陸畫面),則每次都將產生一樣的數字.
這幾個函數都只在WIN32環境下編譯時有用,各類UNIX下就沒必要調了.
大量其餘的相關函數原型,見cryptorandrand.h.
8.OpenSSL_add_ssl_algorithms()或SSLeay_add_ssl_algorithms()
其實都是調用int SSL_library_init(void)
進行一些必要的初始化工做,用openssl編寫SSL/TLS程序的話第一句便應是它.
9.void SSL_load_error_strings(void );
若是想打印出一些方便閱讀的調試信息的話,便要在一開始調用此函數.
10.void ERR_print_errors_fp(FILE *fp);
若是調用了SSL_load_error_strings()後,即可以隨時用ERR_print_errors_fp()來打印錯誤信息了.
11.X509 *SSL_get_peer_certificate(SSL *s);
握手完成後,即可以用此函數從SSL結構中提取出對方的證書(此時證書獲得且已經驗證過了)整理成X509結構.
12.X509_NAME *X509_get_subject_name(X509 *a);
獲得證書全部者的名字,參數可用經過SSL_get_peer_certificate()獲得的X509對象.
13.X509_NAME *X509_get_issuer_name(X509 *a)
獲得證書籤署者(每每是CA)的名字,參數可用經過SSL_get_peer_certificate()獲得的X509對象.
14.char *X509_NAME_oneline(X509_NAME *a,char *buf,int size);
將以上兩個函數獲得的對象變成字符型,以便打印出來.
15.SSL_METHOD的構造函數,包括
SSL_METHOD *TLSv1_server_method(void); /* TLSv1.0 */
SSL_METHOD *TLSv1_client_method(void); /* TLSv1.0 */
SSL_METHOD *SSLv2_server_method(void); /* SSLv2 */
SSL_METHOD *SSLv2_client_method(void); /* SSLv2 */
SSL_METHOD *SSLv3_server_method(void); /* SSLv3 */
SSL_METHOD *SSLv3_client_method(void); /* SSLv3 */
SSL_METHOD *SSLv23_server_method(void); /* SSLv3 but can rollback to v2 */
SSL_METHOD *SSLv23_client_method(void); /* SSLv3 but can rollback to v2 */
在程序中究竟採用哪種協議(TLSv1/SSLv2/SSLv3),就看調哪一組構造函數了.
四:程序源代碼(WIN32版本):
基本上是改造的openssl自帶的demos目錄下的cli.cpp,serv.cpp文件,作了一些修改,並增長了一些功能.
/******************************************************************************************
*SSL/TLS客戶端程序WIN32版(以demos/cli.cpp爲基礎)
*須要用到動態鏈接庫libeay32.dll,ssleay.dll,
*同時在setting中加入ws2_32.lib libeay32.lib ssleay32.lib,
*以上庫文件在編譯openssl後可在out32dll目錄下找到,
*所需證書文件請參照文章自行生成*/
******************************************************************************************/
#include <stdio.h>
#include <stdlib.h>
#include <memory.h>
#include <errno.h>
#include <sys/types.h>
#include <winsock2.h>
#include "openssl/rsa.h"
#include "openssl/crypto.h"
#include "openssl/x509.h"
#include "openssl/pem.h"
#include "openssl/ssl.h"
#include "openssl/err.h"
#include "openssl/rand.h"
/*全部須要的參數信息都在此處以#define的形式提供*/
#define CERTF "client.crt" /*客戶端的證書(需經CA簽名)*/
#define KEYF "client.key" /*客戶端的私鑰(建議加密存儲)*/
#define CACERT "ca.crt" /*CA 的證書*/
#define PORT 1111 /*服務端的端口*/
#define SERVER_ADDR "127.0.0.1" /*服務段的IP地址*/
#define CHK_NULL(x) if ((x)==NULL) exit (-1)
#define CHK_ERR(err,s) if ((err)==-1) { perror(s); exit(-2); }
#define CHK_SSL(err) if ((err)==-1) { ERR_print_errors_fp(stderr); exit(-3); }
int main ()
{
int err;
int sd;
struct sockaddr_in sa;
SSL_CTX* ctx;
SSL* ssl;
X509* server_cert;
char* str;
char buf [4096];
SSL_METHOD *meth;
int seed_int[100]; /*存放隨機序列*/
WSADATA wsaData;
if(WSAStartup(MAKEWORD(2,2),&wsaData) != 0){
printf("WSAStartup()fail:%dn",GetLastError());
return -1;
}
OpenSSL_add_ssl_algorithms(); /*初始化*/
SSL_load_error_strings(); /*爲打印調試信息做準備*/
meth = TLSv1_client_method(); /*採用什麼協議(SSLv2/SSLv3/TLSv1)在此指定*/
ctx = SSL_CTX_new (meth);
CHK_NULL(ctx);
SSL_CTX_set_verify(ctx,SSL_VERIFY_PEER,NULL); /*驗證與否*/
SSL_CTX_load_verify_locations(ctx,CACERT,NULL); /*若驗證,則放置CA證書*/
if (SSL_CTX_use_certificate_file(ctx, CERTF, SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(-2);
}
if (SSL_CTX_use_PrivateKey_file(ctx, KEYF, SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(-3);
}
if (!SSL_CTX_check_private_key(ctx)) {
printf("Private key does not match the certificate public keyn");
exit(-4);
}
/*構建隨機數生成機制,WIN32平臺必需*/
srand( (unsigned)time( NULL ) );
for( int i = 0; i < 100;i++ )
seed_int[i] = rand();
RAND_seed(seed_int, sizeof(seed_int));
/*如下是正常的TCP socket創建過程 .............................. */
printf("Begin tcp socket...n");
sd = socket (AF_INET, SOCK_STREAM, 0); CHK_ERR(sd, "socket");
memset (&sa, '', sizeof(sa));
sa.sin_family = AF_INET;
sa.sin_addr.s_addr = inet_addr (SERVER_ADDR); /* Server IP */
sa.sin_port = htons (PORT); /* Server Port number */
err = connect(sd, (struct sockaddr*) &sa,
sizeof(sa));
CHK_ERR(err, "connect");
/* TCP 連接已創建.開始 SSL 握手過程.......................... */
printf("Begin SSL negotiation n");
ssl = SSL_new (ctx);
CHK_NULL(ssl);
SSL_set_fd (ssl, sd);
err = SSL_connect (ssl);
CHK_SSL(err);
/*打印全部加密算法的信息(可選)*/
printf ("SSL connection using %sn", SSL_get_cipher (ssl));
/*獲得服務端的證書並打印些信息(可選) */
server_cert = SSL_get_peer_certificate (ssl);
CHK_NULL(server_cert);
printf ("Server certificate:n");
str = X509_NAME_oneline (X509_get_subject_name (server_cert),0,0);
CHK_NULL(str);
printf ("t subject: %sn", str);
Free (str);
str = X509_NAME_oneline (X509_get_issuer_name (server_cert),0,0);
CHK_NULL(str);
printf ("t issuer: %sn", str);
Free (str);
X509_free (server_cert); /*如再也不須要,需將證書釋放 */
/* 數據交換開始,用SSL_write,SSL_read代替write,read */
printf("Begin SSL data exchangen");
err = SSL_write (ssl, "Hello World!", strlen("Hello World!"));
CHK_SSL(err);
err = SSL_read (ssl, buf, sizeof(buf) - 1);
CHK_SSL(err);
buf[err] = '';
printf ("Got %d chars:'%s'n", err, buf);
SSL_shutdown (ssl); /* send SSL/TLS close_notify */
/* 收尾工做 */
shutdown (sd,2);
SSL_free (ssl);
SSL_CTX_free (ctx);
return 0;
}
/***************************************************************************************
* EOF - cli.cpp
***************************************************************************************/
/***************************************************************************************
*SSL/TLS服務端程序WIN32版(以demos/server.cpp爲基礎)
*須要用到動態鏈接庫libeay32.dll,ssleay.dll,
*同時在setting中加入ws2_32.lib libeay32.lib ssleay32.lib,
*以上庫文件在編譯openssl後可在out32dll目錄下找到,
*所需證書文件請參照文章自行生成.
***************************************************************************************/
#include <stdio.h>
#include <stdlib.h>
#include <memory.h>
#include <errno.h>
#include <sys/types.h>
#include <winsock2.h>
#include "openssl/rsa.h"
#include "openssl/crypto.h"
#include "openssl/x509.h"
#include "openssl/pem.h"
#include "openssl/ssl.h"
#include "openssl/err.h"
/*全部須要的參數信息都在此處以#define的形式提供*/
#define CERTF "server.crt" /*服務端的證書(需經CA簽名)*/
#define KEYF "server.key" /*服務端的私鑰(建議加密存儲)*/
#define CACERT "ca.crt" /*CA 的證書*/
#define PORT 1111 /*準備綁定的端口*/
#define CHK_NULL(x) if ((x)==NULL) exit (1)
#define CHK_ERR(err,s) if ((err)==-1) { perror(s); exit(1); }
#define CHK_SSL(err) if ((err)==-1) { ERR_print_errors_fp(stderr); exit(2); }
int main ()
{
int err;
int listen_sd;
int sd;
struct sockaddr_in sa_serv;
struct sockaddr_in sa_cli;
int client_len;
SSL_CTX* ctx;
SSL* ssl;
X509* client_cert;
char* str;
char buf [4096];
SSL_METHOD *meth;
WSADATA wsaData;
if(WSAStartup(MAKEWORD(2,2),&wsaData) != 0){
printf("WSAStartup()fail:%dn",GetLastError());
return -1;
}
SSL_load_error_strings(); /*爲打印調試信息做準備*/
OpenSSL_add_ssl_algorithms(); /*初始化*/
meth = TLSv1_server_method(); /*採用什麼協議(SSLv2/SSLv3/TLSv1)在此指定*/
ctx = SSL_CTX_new (meth);
CHK_NULL(ctx);
SSL_CTX_set_verify(ctx,SSL_VERIFY_PEER,NULL); /*驗證與否*/
SSL_CTX_load_verify_locations(ctx,CACERT,NULL); /*若驗證,則放置CA證書*/
if (SSL_CTX_use_certificate_file(ctx, CERTF, SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(3);
}
if (SSL_CTX_use_PrivateKey_file(ctx, KEYF, SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(4);
}
if (!SSL_CTX_check_private_key(ctx)) {
printf("Private key does not match the certificate public keyn");
exit(5);
}
SSL_CTX_set_cipher_list(ctx,"RC4-MD5");
/*開始正常的TCP socket過程.................................*/
printf("Begin TCP socket...n");
listen_sd = socket (AF_INET, SOCK_STREAM, 0);
CHK_ERR(listen_sd, "socket");
memset (&sa_serv, '', sizeof(sa_serv));
sa_serv.sin_family = AF_INET;
sa_serv.sin_addr.s_addr = INADDR_ANY;
sa_serv.sin_port = htons (PORT);
err = bind(listen_sd, (struct sockaddr*) &sa_serv,
sizeof (sa_serv));
CHK_ERR(err, "bind");
/*接受TCP連接*/
err = listen (listen_sd, 5);
CHK_ERR(err, "listen");
client_len = sizeof(sa_cli);
sd = accept (listen_sd, (struct sockaddr*) &sa_cli, &client_len);
CHK_ERR(sd, "accept");
closesocket (listen_sd);
printf ("Connection from %lx, port %xn",
sa_cli.sin_addr.s_addr, sa_cli.sin_port);
/*TCP鏈接已創建,進行服務端的SSL過程. */
printf("Begin server side SSLn");
ssl = SSL_new (ctx);
CHK_NULL(ssl);
SSL_set_fd (ssl, sd);
err = SSL_accept (ssl);
printf("SSL_accept finishedn");
CHK_SSL(err);
/*打印全部加密算法的信息(可選)*/
printf ("SSL connection using %sn", SSL_get_cipher (ssl));
/*獲得服務端的證書並打印些信息(可選) */
client_cert = SSL_get_peer_certificate (ssl);
if (client_cert != NULL) {
printf ("Client certificate:n");
str = X509_NAME_oneline (X509_get_subject_name (client_cert), 0, 0);
CHK_NULL(str);
printf ("t subject: %sn", str);
Free (str);
str = X509_NAME_oneline (X509_get_issuer_name (client_cert), 0, 0);
CHK_NULL(str);
printf ("t issuer: %sn", str);
Free (str);
X509_free (client_cert);/*如再也不須要,需將證書釋放 */
}
else
printf ("Client does not have certificate.n");
/* 數據交換開始,用SSL_write,SSL_read代替write,read */
err = SSL_read (ssl, buf, sizeof(buf) - 1);
CHK_SSL(err);
buf[err] = '';
printf ("Got %d chars:'%s'n", err, buf);
err = SSL_write (ssl, "I hear you.", strlen("I hear you."));
CHK_SSL(err);
/* 收尾工做*/
shutdown (sd,2);
SSL_free (ssl);
SSL_CTX_free (ctx);
return 0;
}
/*****************************************************************
* EOF - serv.cpp
*****************************************************************/
五.參考文獻
1.SSL規範(draft302)
2.TLS標準(rfc2246)
3.openssl源程序及文檔
4.SSLeay Programmer Reference
5.Introducing SSL and Certificates using SSLeay
openssl編譯問題 - C/C++ - ChinaUnix.net - - Google Chrome (2013/5/31 14:44:39)
#include <stdio.h>#include <string.h>
#include <errno.h>
#include <sys/socket.h>
#include <resolv.h>
#include <stdlib.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <unistd.h>
#include <openssl/ssl.h>
#include <openssl/err.h>
#define MAXBUF 1024
void ShowCerts(SSL * ssl)
{
X509 *cert;
char *line;
cert = SSL_get_peer_certificate(ssl);
if (cert != NULL) {
printf("數字證書信息:n");
line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);
printf("證書: %sn", line);
free(line);
line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);
printf("頒發者: %sn", line);
free(line);
X509_free(cert);
} else
printf("無證書信息!n");
}
/************關於本文檔********************************************
*filename: ssl-client.c
*purpose: 演示利用 OpenSSL 庫進行基於 IP層的 SSL 加密通信的方法,這是客戶端例子
*wrote by: zhoulifa( zhoulifa@163.com ) 周立發( http://zhoulifa.bokee.com )
Linux愛好者 Linux知識傳播者 SOHO族 開發者 最擅長C語言
*date time:2007-02-02 20:10
*Note: 任何人能夠任意複製代碼並運用這些文檔,固然包括你的商業用途
* 但請遵循GPL
*Thanks to:Google
*Hope:但願愈來愈多的人貢獻本身的力量,爲科學技術發展出力
* 科技站在巨人的肩膀上進步更快!感謝有開源前輩的貢獻!
*********************************************************************/
int main(int argc, char **argv)
{
int sockfd, len;
struct sockaddr_in dest;
char buffer[MAXBUF + 1];
SSL_CTX *ctx;
SSL *ssl;
if (argc != 3) {
printf
("參數格式錯誤!正確用法以下:ntt%s IP地址 端口nt好比:t%s 127.0.0.1 80n此程序用來從某個 IP 地址的服務器某個端口接收最多 MAXBUF 個字節的消息",
argv[0], argv[0]);
exit(0);
}
/* SSL 庫初始化,參看 ssl-server.c 代碼 */
SSL_library_init();
OpenSSL_add_all_algorithms();
SSL_load_error_strings();
ctx = SSL_CTX_new(SSLv23_client_method());
if (ctx == NULL) {
ERR_print_errors_fp(stdout);
exit(1);
}
/* 建立一個 socket 用於 tcp 通訊 */
if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {
perror("Socket");
exit(errno);
}
printf("socket createdn");
/* 初始化服務器端(對方)的地址和端口信息 */
bzero(&dest, sizeof(dest));
dest.sin_family = AF_INET;
dest.sin_port = htons(atoi(argv[2]));
if (inet_aton(argv[1], (struct in_addr *) &dest.sin_addr.s_addr) == 0) {
perror(argv[1]);
exit(errno);
}
printf("address createdn");
/* 鏈接服務器 */
if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {
perror("Connect ");
exit(errno);
}
printf("server connectedn");
/* 基於 ctx 產生一個新的 SSL */
ssl = SSL_new(ctx);
SSL_set_fd(ssl, sockfd);
/* 創建 SSL 鏈接 */
if (SSL_connect(ssl) == -1)
ERR_print_errors_fp(stderr);
else {
printf("Connected with %s encryptionn", SSL_get_cipher(ssl));
ShowCerts(ssl);
}
/* 發消息給服務器 */
sprintf(buffer, "GET %s HTTP/1.1rnrn", "/accounts/ClientAuth?Email=jinhui1231&Passwd=hao1234567&PersistentCookie=false&source=googletalk");
len = SSL_write(ssl, buffer, strlen(buffer));
if (len < 0)
printf
("消息'%s'發送失敗!錯誤代碼是%d,錯誤信息是'%s'n",
buffer, errno, strerror(errno));
else
printf("消息'%s'發送成功,共發送了%d個字節!n",
buffer, len);
#if 1
/* 接收對方發過來的消息,最多接收 MAXBUF 個字節 */
bzero(buffer, MAXBUF + 1);
/* 接收服務器來的消息 */
len = SSL_read(ssl, buffer, MAXBUF);
if (len > 0)
printf("接收消息成功:'%s',共%d個字節的數據n",
buffer, len);
else {
printf("消息接收失敗!錯誤代碼是%d,錯誤信息是'%s'n",
errno, strerror(errno));
goto finish;
}
// bzero(buffer, MAXBUF + 1);
// strcpy(buffer, "from client->server");
#endif
finish:
/* 關閉鏈接 */
SSL_shutdown(ssl);
SSL_free(ssl);
close(sockfd);
SSL_CTX_free(ctx);
return 0;
}
使用 OpenSSL API 進行安全編程 - JORDANSG的我的空間 - 開源中國社區 - Google Chrome (2013/5/30 17:45:09)
相關文章
- 1. 筆記整理--Linux編程
- 2. (筆記整理)VsCode使用教程(9)
- 3. git使用筆記整理
- 4. 異步編程(筆記整理)
- 5. [OpenSSL筆記] ERROR處理
- 6. 使用 OpenSSL API 進行安全編程
- 7. OpenSSL編程
- 8. 筆記整理
- 9. 彙編語言筆記整理
- 10. openssl aes api 記錄 [二] - windows 下使用openssl問題記錄
- 更多相關文章...
- • TortoiseSVN 使用教程 - SVN 教程
- • MySQL Workbench使用教程 - MySQL教程
- • Tomcat學習筆記(史上最全tomcat學習筆記)
- • Java Agent入門實戰(三)-JVM Attach原理與使用
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 筆記整理--Linux編程
- 2. (筆記整理)VsCode使用教程(9)
- 3. git使用筆記整理
- 4. 異步編程(筆記整理)
- 5. [OpenSSL筆記] ERROR處理
- 6. 使用 OpenSSL API 進行安全編程
- 7. OpenSSL編程
- 8. 筆記整理
- 9. 彙編語言筆記整理
- 10. openssl aes api 記錄 [二] - windows 下使用openssl問題記錄