基于X.509证书和SSL协议的身份认证过程实现
from编程
http://rangercyh.blog.51cto.com/1444712/430652安全
上周帮一个童鞋作一个数字认证的实验,要求是编程实现一个基于X.509证书认证的过程,唉!可怜我那点薄弱的计算机网络安全的知识啊!只得恶补一下了。服务器
首先来看看什么是X.509。所谓X.509实际上是一种很是通用的证书,什么是证书?唉!这么说吧!当两我的须要进行远程通讯而又不想让第三我的知 道时就必须创建一种安全措施,由于看不到对方的脸,又不能经过电话直接询问对方,就得想点别的办法,好比我设计一个密码,让后发短信告诉你,这样当咱们在 网上交流以前就能够对一下密码,暗号之类的。确认后就能够证实你的身份了。这个证书就至关于这里的密码,只是确实比密码要复杂一些,想了解的朋友能够 google之~~网络
那么什么是SSL呢?SSL是一种网络通讯的安全协议,在传输层对网络链接进行加密,简单点说就是提过一种方法使咱们经过网络进行通讯的安全性获得提升。而X.509证书认证的过程就能够经过这个协议来实现。app
好了,知道了这些就然咱们来开始写这个程序吧!慢着,若是实现这个SSL和X.509呢?咱们貌似仍是不知道啊!好吧,既然是一种加密通讯过程确定 和加密分不开吧,随便查了一下,SSL涉及到的加密方法就不下数十种,并且极其艰深复杂,难道我要本身实现这个过程?本身构建X.509证书?固然不会, 互联网就是好啊!让我发现了存在OpenSSL这么个东西,让咱们感谢Eric A. Young和Tim J. Hudson这两我的吧!由于他们在1995年就开始作我上面想作的事情了,并且写出了OpenSSL这个没有太多限制的开放源代码的软件包。有了这玩意 什么事都好办了。socket
我先从网上下了openssl-0.9.8的压缩包,而后琢磨了两个多小时终于明白如何安装这么个软件包了。我把本身的安装心得记录下来你们一块儿分享。tcp
在使用这个软件包以前须要安装PERL组件——ActivePerl-5.8.0.806-MSWin32-x86(PERL和OpenSSL网上 有不少免费下载的,这里我就不给出下载地址了),这个安装倒很简单,直接使用安装包就好了。判断perl是否安装成功的方法是经过命令行进入到perl安 装目录下的\eg目录里,执行perl example.pl命令,若是显示“Hello from ActivePerl!”,则说明Perl安装成功。而后咱们开始安装OpenSSL。ide
一、将openssl.0.9.8.tar.gz解压到d:盘下。google
二、打开命令行窗口进入d: \openssl-0.9.8目录下键入如下命令:perl Configure VC-WIN32。编码
三、而后键入ms\do_ms命令。
![clip_p_w_picpath001[6]](/link?url=https://s4.51cto.com/attachment/201011/23/1444712_12905193378WN8.jpg "clip_p_w_picpath001[6]")
四、而后键入nmake –f ms\ntdll.mak会成功编译不少c文件,若是不成功的话通常就是提示“cl”没法找到之类的错误,这时就须要在系统环境变量PATH里加入VC的bin路径,这样才能找到“cl”命令。
五、接着键入mkdir c:\caroot,这样就会在C盘根目录下生成一个caroot文件夹。
六、而后须要在系统环境变量PATH路径中加入openssl-0.9.8\out32dll路径,并在VC(我使用的是VC编译器)中把 include路径增长一个:D:\openssl-0.9.8\include,把library路径增长一个:D:\openssl-0.9.8 \out32dll,将D:\openssl-0.9.8\apps下的openssl.cnf文件拷贝到c:\caroot目录下。
到这里能够说咱们的安装已经完成了,下面咱们须要生成几个证书和密钥,密钥是用来加密的,证书是用来认证的。好比服务器证书、密钥,客户端证书、密 钥。但这里咱们漏了一个最重要的证书和密钥,就是CA证书和密钥。CA是个什么东东呢?这个解释起来很麻烦,他就像一个中间证实人,证实两方的身份都是真 实可信的,这样双方拿着证书才能相互信任,详细解释能够参看这里:http://baike.baidu.com/view/23691.htm#7,维基百科的解释更加详细,不过是英文的我以为喜欢英文的朋友能够看看:http://en.wikipedia.org/wiki/Certificate_authority。
好吧,让咱们把这些该死的证书密钥都生成而后开始编码吧:
在上面C:\caroot目录下(其实能够不在这目录下)输入以下:
#产生CA自签名证书
openssl.exe genrsa -out private\ca.key -rand private\.rnd -des 2048
openssl.exe req -new -x509 -days 3650 -key private\ca.key -out private\ca.crt -config openssl.cnf
openssl.exe x509 -in private\ca.crt -noout -text
#产生server的证书过程
openssl.exe genrsa -out private\server.key 1024
openssl.exe req -new -key private\server.key -out newcerts\server.csr -config openssl.cnf
openssl.exe ca -in newcerts\server.csr -cert private\ca.crt -keyfile private\ca.key
-config openssl.cnf -policy policy_anything -out certs\server.crt
openssl.exe x509 -in certs\server.crt -noout -text
#产生proxy的证书过程
openssl.exe genrsa -out private\proxy.key 1024
openssl.exe req -new -key private\proxy.key -out newcerts\proxy.csr -config openssl.cnf
openssl.exe ca -in newcerts\proxy.csr -cert private\ca.crt -keyfile private\ca.key -config openssl.cnf -policy policy_anything -out certs\proxy.crt
openssl.exe x509 -in certs\proxy.crt -noout -text
#产生client的证书过程
openssl.exe genrsa -out private\client.key 1024
openssl.exe req -new -key private\client.key -out newcerts\client.csr -config openssl.cnf
openssl.exe ca -in newcerts\client.csr -cert private\ca.crt -keyfile private\ca.key -config openssl.cnf -policy policy_anything -out certs\client.crt
openssl.exe x509 -in certs\client.crt -noout -text
上面的命令中会给出提示让用户输入一些证书的信息,只要正常输入就能够了。执行上述操做后C:\caroot目录以下:
private目录以下:
newcerts目录以下:
certs目录以下:
其中证书:
ca.crt为自签名证书;
server.crt,server.key为服务器端的证书和私钥文件;
proxy.crt,proxy.key为代理服务器端的证书和私钥文件;
client.crt,client.key为客户端的证书和私钥文件。
乱七八糟的事情终于作完了,下面总算能够开始编码了。看了一下实验要求,要编写简单的Client程序和Server程序,实现Client程序与Server程序之间基于X509证书和SSL协议身份认证和通讯加密,服务器可以接收而且显示客户端发送来的文字消息。
看来须要两个程序,一个服务端的,一个客户端的。
具体编程你们直接看代码就好了,涉及到socket通讯,其实至关简单,懂一点点就好了,我这里就不要王婆卖瓜了,直接上代码吧。
客户端程序代码:
- //client
- #include <winsock2.h>
- #include <conio.h>
- #include <stdio.h>
- #include "openssl/x509.h"
- #include "openssl/ssl.h"
- #include "openssl/err.h"
- #include "openssl/rand.h"
-
- #define PORT 1111
- #define SERVER "127.0.0.1"
- #define CACERT "ca.crt"
- #define MYCERTF "yuliding.crt"
- #define MYKEYF "yuliding.key"
- #define MSGLENGTH 1024
-
- int main()
- {
- WSADATA wsadata;
- WSAStartup(MAKEWORD(2,2), &wsadata);
- sockaddr_in sin;
- int seed_int[100]; /*存放随机序列*/
-
- SSL*ssl;
- SSL_METHOD *meth;
- SSL_CTX *ctx;
-
- //SSL初始化
- OpenSSL_add_ssl_algorithms();
- //SSL错误信息初始化
- SSL_load_error_strings();
-
- //建立本次会话所使用的协议
- meth = TLSv1_client_method();
- //申请SSL会话的环境
- ctx = SSL_CTX_new(meth);
- if (NULL == ctx)
- exit(1);
-
- //设置会话的握手方式并加载CA证书
- SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);
- SSL_CTX_load_verify_locations(ctx, CACERT, NULL);
- //加载本身的证书
- if (0 >= SSL_CTX_use_certificate_file(ctx, MYCERTF, SSL_FILETYPE_PEM)) {
- ERR_print_errors_fp(stderr);
- exit(1);
- }
- //加载本身的私钥
- if (0 >= SSL_CTX_use_PrivateKey_file(ctx, MYKEYF, SSL_FILETYPE_PEM)) {
- ERR_print_errors_fp(stderr);
- exit(1);
- }
- //检查本身的证书和私钥是否匹配
- if (!SSL_CTX_check_private_key(ctx)) {
- printf("Private key does not match the certificate public key\n");
- exit(1);
- }
- /*构建随机数生成机制,WIN32平台必需*/
- srand((unsigned)time(NULL));
- for (int i = 0; i < 100; i++)
- seed_int[i] = rand();
- RAND_seed(seed_int, sizeof(seed_int));
-
- //加密方式
- SSL_CTX_set_cipher_list(ctx, "RC4-MD5");
- //处理握手屡次
- SSL_CTX_set_mode(ctx, SSL_MODE_AUTO_RETRY);
-
- /*如下是正常的TCP socket创建过程 .............................. */
- SOCKET sock;
- printf("Begin tcp socket...\n");
- sock = socket(AF_INET, SOCK_STREAM, 0);
- if (sock == INVALID_SOCKET) {
- printf("SOCKET有问题. \n");
- }
-
- memset(&sin, '\0', sizeof(sin));
- sin.sin_family = AF_INET;
- sin.sin_addr.s_addr = inet_addr(SERVER); /* Server IP */
- sin.sin_port = htons(PORT); /* Server Port number */
-
- int icnn = connect(sock, (sockaddr *)&sin, sizeof(sin));
- if (icnn == SOCKET_ERROR) {
- printf("连不上服务器\n", GetLastError());
- exit(1);
- }
-
- /* TCP 连接已创建.开始 SSL 握手过程.......................... */
- //绑定套接字
- ssl = SSL_new(ctx);
- if (NULL == ssl)
- exit(1);
- if (0 >= SSL_set_fd(ssl, sock)) {
- printf("Attach to Line fail!\n");
- exit(1);
- }
- //SSL握手
- //SSL_connect(ssl);
- int k = SSL_connect(ssl);
- if (0 >= k) {
- printf("%d\n", k);
- printf("SSL connect fail!\n");
- exit(1);
- }
- printf("链接服务器成功\n");
-
- char sendmsg[MSGLENGTH] = "\0";
- char revmsg[MSGLENGTH] = "\0";
-
- int err = SSL_read(ssl, revmsg, sizeof(revmsg));
- revmsg[err] = '\0';
- printf("%s\n", revmsg);
-
- while (1) {
- printf("请输入所要发送的数据:\n");
- scanf("%s", sendmsg);
- SSL_write(ssl, sendmsg, strlen(sendmsg));
- printf("发送消息“ %s ”成功!\n", sendmsg);
- }
-
- //关闭套接字
- SSL_shutdown(ssl);
- SSL_free(ssl);
- SSL_CTX_free(ctx);
- closesocket(sock);
- WSACleanup();
- getch();
- return 0;
- }
服务端程序代码:
- //server
- #include <winsock2.h>
- #include <conio.h>
- #include <stdio.h>
- #include <winsock.h>
- #include "openssl/x509.h"
- #include "openssl/ssl.h"
- #include "openssl/err.h"
-
- #define MSGLENGTH 1024
- #define PORT 1111
- #define CACERT "ca.crt"
- #define SVRCERTF "server.crt"
- #define SVRKEYF "server.key"
-
- int main()
- {
- WSADATA wsaData;
- WSAStartup(MAKEWORD(2,2), &wsaData);
- SOCKET sock;
- SSL_METHOD *meth;
- SSL_CTX* ctx;
- SSL* ssl;
- //SSL初始化
- OpenSSL_add_ssl_algorithms();
- //SSL错误信息初始化
- SSL_load_error_strings();
-
- //建立本次会话所使用的协议
- meth = TLSv1_server_method();
- //申请SSL会话的环境
- ctx = SSL_CTX_new(meth);
- if (NULL == ctx)
- exit(1);
-
- //设置会话的握手方式并加载CA证书
- SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);
- SSL_CTX_load_verify_locations(ctx, CACERT, NULL);
- //加载服务器端的证书
- if (0 >= SSL_CTX_use_certificate_file(ctx, SVRCERTF, SSL_FILETYPE_PEM)) {
- ERR_print_errors_fp(stderr);
- exit(1);
- }
- //加载服务器端的私钥
- if (0 >= SSL_CTX_use_PrivateKey_file(ctx, SVRKEYF, SSL_FILETYPE_PEM)) {
- ERR_print_errors_fp(stderr);
- exit(1);
- }
- //检查服务器端的证书和私钥是否匹配
- if (!SSL_CTX_check_private_key(ctx)) {
- printf("Private key does not match the certificate public key\n");
- exit(1);
- }
-
- //加密方式
- SSL_CTX_set_cipher_list(ctx, "RC4-MD5");
- //处理握手屡次
- SSL_CTX_set_mode(ctx, SSL_MODE_AUTO_RETRY);
-
- /*如下是正常的TCP socket创建过程 .............................. */
- printf("Begin tcp socket...\n");
- sock = socket(AF_INET, SOCK_STREAM, 0);
- if (sock == INVALID_SOCKET) {
- printf("SOCKET有问题. \n");
- return 0;
- }
-
- sockaddr_in addr;
- memset(&addr, '\0', sizeof(addr));
- addr.sin_family = AF_INET;
- addr.sin_port = htons(PORT); /* Server Port number */
- addr.sin_addr.s_addr = INADDR_ANY;
-
- //绑定sock
- int nResult = bind(sock, (sockaddr *)&addr, sizeof(addr));
- if (nResult == SOCKET_ERROR) {
- printf("绑定SOCKET有问题. \n");
- return 0;
- }
- printf("服务器启动成功,端口:%d\n正在等待链接\n", PORT);
-
- /*接受TCP连接*/
- sockaddr_in sa_cli;
- int err = listen(sock, 5);
- if (-1 == err)
- exit(1);
- int client_len = sizeof(sa_cli);
- int ss = accept(sock, (struct sockaddr *) &sa_cli, &client_len);
- if (ss == -1) {
- exit(1);
- }
- closesocket(sock);
- printf("Connection from %d, port %d\n", sa_cli.sin_addr.s_addr, sa_cli.sin_port);
-
- /* TCP 连接已创建.开始 SSL 握手过程.......................... */
- //绑定套接字
- ssl = SSL_new(ctx);
- if (NULL == ssl)
- exit(1);
- if (0 >= SSL_set_fd(ssl, ss)) {
- printf("Attach to Line fail!\n");
- exit(1);
- }
- //SSL握手
- //SSL_accept(ssl);
- int k = SSL_accept(ssl);
- if (0 >= k) {
- printf("%d\n", k);
- printf("SSL connect fail!\n");
- exit(1);
- }
- //进行信息验证
- X509 *client_cert;
- client_cert = SSL_get_peer_certificate(ssl);
-
- printf("发现客户端尝试链接\n");
- if (client_cert != NULL) {
- printf ("Client certificate:\n");
-
- //读取证书subject名并显示
- char *str = X509_NAME_oneline(X509_get_subject_name(client_cert), 0, 0);
- if (NULL == str) {
- printf("认证出错!\n");
- exit(1);
- }
- printf("subject: %s\n", str);
- //读取证书的issuer名并显示
- str = X509_NAME_oneline(X509_get_issuer_name(client_cert), 0, 0);
- if (NULL == str) {
- printf("证书名为空\n");
- exit(1);
- }
- printf("issuer: %s\n", str);
- printf("链接成功\n");
-
- X509_free (client_cert);/*如再也不须要,需将证书释放 */
- OPENSSL_free(str);
- }
- else {
- printf("找不到客户端的认证证书\n");
- exit(1);
- }
-
- char buf[MSGLENGTH];
- SSL_write(ssl, "Server is connect to you!\n", strlen("Server is connect to you!\n"));
- printf("Listen to the client: \n");
- while (1) {
- err = SSL_read(ssl, buf, sizeof(buf));
- buf[err] = '\0';
- printf("%s\n", buf);
- }
-
- //关闭套接字
- SSL_shutdown(ssl);
- SSL_free(ssl);
- SSL_CTX_free(ctx);
- WSACleanup();
- getch();
- return 0;
- }
编写完后后首先运行服务端程序,而后运行客户端程序,效果以下:
链接成功后服务端的状态以下:
![clip_p_w_picpath002[7]](/link?url=https://s4.51cto.com/attachment/201011/23/1444712_1290519344FlPJ.jpg "clip_p_w_picpath002[7]")
红色部分为我在生成证书文件时输入的一些信息,具体的你能够经过我上面讲解创建证书时试验一下。这里我经过代码把这些证书信息打印出来是为了判断获取的证书是否正确。
链接成功后客户端的状态:
这样,就能够实现经过客户端向服务端发送信息,以下:
细心的朋友能够发现上面我显示Connection from后面貌似是一串乱码,其实否则,那是一串IP地址,只不过是反序排列的,我曾经在作SIP TRUNK项目时也遇到过这个问题,感兴趣的朋友能够本身写个转义程序把他转成IP地址试试看。
最后提醒一点,由于个人代码中把证书和密钥文件的目录设为当前目录了,因此想要程序正确运行必须把证书文件和密钥文件拷贝到当前工程的目录下,以下:
客户端是同样的。或者你能够把目录改到你生成证书和密钥的目录下。
能够看见,上面的程序有众多漏洞和缺陷,若是有朋友想使用的话请必定仔细debug一下,把不少判断的条件加上,这里我就偷下懒罗~~分享快乐~~
- 1. 基于X.509证书和SSL协议的身份认证过程实现
- 2. x.509证书
- 3. 基于SSL协议的双向认证 - 数字证书 [2]
- 4. Https协议中SSL协议的认证过程
- 5. X.509证书的 Base64 和 DER 编码
- 6. Vault X.509 证书管理
- 7. X.509证书校验
- 8. tomcat X.509证书配置
- 9. 身份认证之PKI搭建、X.509(RFC5280)——(一)
- 10. Springboot+shiro基于url身份认证和受权认证
- 更多相关文章...
- • 基于ARP协议进行扫描 - TCP/IP教程
- • XML 验证 - XML 教程
- • ☆基于Java Instrument的Agent实现
- • 适用于PHP初学者的学习线路和建议
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. No provider available from registry 127.0.0.1:2181 for service com.ddbuy.ser 解决方法
- 2. Qt5.7以上调用虚拟键盘(支持中文),以及源码修改(可拖动,水平缩放)
- 3. 软件测试面试- 购物车功能测试用例设计
- 4. ElasticSearch(概念篇):你知道的, 为了搜索…
- 5. redux理解
- 6. gitee创建第一个项目
- 7. 支持向量机之硬间隔(一步步推导,通俗易懂)
- 8. Mysql 异步复制延迟的原因及解决方案
- 9. 如何在运行SEPM配置向导时将不可认的复杂数据库密码改为简单密码
- 10. windows系统下tftp服务器使用