SSL编程简介

OpenSSL是一个开放源代码的SSL协议实现，采用C语言做为开发语言，具有了跨系统的性能。调用OpenSSL的函数就能够实现一个SSL加密的安全数据传输通道，从而保护客户端和服务器之间数据的安全。

头文件：

#include <openssl/ssl.h>
#include <openssl/err.h>

在使用OpenSSL以前，必须进行相应的协议初始化工做，这能够经过下面的函数实现：

int SSL_library_int(void);

在开始SSL会话以前，须要为客户端和服务器制定本次会话采用的协议，目前可以使用的协议包括TLSv1.0、SSLv2、SSLv3、SSLv2/v3。须要注意的是，客户端和服务器必须使用相互兼容的协议，不然SSL会话将没法正常进行。

在OpenSSL中建立的SSL会话环境称为CTX，使用不一样的协议会话，其环境也不同的。申请SSL会话环境的OpenSSL函数是：

SSL_CTX *SSL_CTX_new(SSL_METHOD *method);

当SSL会话环境申请成功后，还要根据实际的须要设置CTX的属性，一般的设置是指定SSL握手阶段证书的验证方式和加载本身的证书。制定证书验证方式的函数是：

int SSL_CTX_set_verify(SSL_CTX *ctx, int mode, int(*verify_callback), int(X509_STORE_CTX *));

为SSL会话环境加载CA证书的函数是：

SSL_CTX_load_verify_location(SSL_CTX *ctx, const char *Cafile, const char *Capath);

为SSL会话加载用户证书的函数是：

SSL_CTX_use_certificate_file(SSL_CTX *ctx, const char *file, int type);

为SSL会话加载用户私钥的函数是：

SSL_CTX_use_PrivateKey_file(SSL_CTX *ctx, const char *file, int type);

在将证书和私钥加载到SSL会话环境以后，就能够调用下面的函数来验证私钥和证书是否相符：

int SSL_CTX_check_private_key(SSL_CTX *ctx);

SSL套接字是创建在普通的TCP套接字基础之上，在创建SSL套接字时可使用下面的一些函数：

SSL *SSl_new(SSL_CTX *ctx); // 申请一个SSL套接字
int SSL_set_fd(SSL *ssl, int fd);)  // 绑定读写套接字
int SSL_set_rfd(SSL *ssl, int fd);  // 绑定只读套接字
int SSL_set_wfd(SSL *ssl, int fd); // 绑定只写套接字

在成功建立SSL套接字后，客户端应使用函数SSL_connect()替代传统的函数connect()来完成握手过程:

int SSL_connect(SSL *ssl);

而对服务器来说，则应使用函数SSL_ accept()替代传统的函数accept()来完成握手过程:

int SSL_accept(SSL *ssl);

握手过程完成以后，一般须要询问通讯双方的证书信息，以便进行相应的验证，这能够借助于下面的函数来实现:

X509 *SSL_get_peer_certificate(SSL *ssl);

该函数能够从SSL套接字中提取对方的证书信息，这些信息已经被SSL验证过了。

获得证书所用者的名字：

X509_NAME *X509_get_subject_name(X509 *a);

当SSL握手完成以后，就能够进行安全的数据传输了，在数据传输阶段，须要使用SSL_read()和SSL_write()来替代传统的read()和write()函数，来完成对套接字的读写操做：

int SSL_read(SSL *ssl, void *buf, int num);
int SSL_write(SSL *ssl, const void *buf, int num);

当客户端和服务器之间的数据通讯完成以后，调用下面的函数来释放已经申请的SSL资源：

int SSL_shutdown(SSL *ssl); // 关闭SSL套接字
void SSl_free(SSL *ssl); // 释放SSL套接字
void SSL_CTX_free(SSL_CTX *ctx);  // 释放SSL会话环境

客户端程序的框架：

meth = SSLv23_client_method();  
ctx = SSL_CTX_new(meth);  
ssl = SSL_new(ctx);  
fd = socket();  
connect();  
SSL_set_fd(ssl, fd);  
SSL_connect(ssl);  
SSL_write(ssl, "Hello world", strlen("Hello World!"));

服务端程序的框架：

meth = SSLv23_server_method();  
ctx = SSL_CTX_new(meth);  
ssl = SSL_new(ctx);  
fd = socket();  
bind();  
listen();  
accept();  
SSL_set_fd(ssl, fd);  
SSL_connect(ssl);  
SSL_read(ssl, buf, sizeof(buf));

OpenSSL中的SSL安全通讯能够分为两类，两类基本上的操做相同，一类是创建SSL环境后使用BIO读写，另外一类是直接在socket上创建SSL上下文环境。在OpenSSL的安装目录下的misc目录下，运行脚本sudo ./CA.sh -newca，根据提示填写信息完成后会生成一个demoCA的目录，里面存放了CA的证书和私钥。

生成客户端和服务器证书申请：

$ openssl req -newkey rsa:1204 -out sslclientreq.pem -keyout sslclientkey.pem
$ openssl req -newkey rsa:1204 -out sslserverreq.pem -keyout sslserverkey.pem

签发客户端和服务器证书：

$ openssl ca -in sslclientreq.pem -out sslclientcert.pem
$ openssl ca -in sslserverreq.pem -out sslservercert.pem

参考文章

Ubuntu使用OpenSSL生成数字证书详解
SSL编程- 简单函数介绍
SSL/TLS原理详解
SSL握手通讯详解及linux下c/c++ SSL Socket