3 篇博文含有标签「openssl」

libevent之ssl通信

2019年4月29日 · 阅读需 3 分钟

说明

这里用bufferevent进行ssl通信, 是一个简单的回显服务器,接受客户端的消息,并原封不动的响应回去

这里仅仅是加密的tcp, 并不是https

代码

bufferevent_ssl.c

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>

#include <openssl/ssl.h>
#include <openssl/err.h>
#include <openssl/rand.h>

#include <event.h>
#include <event2/listener.h>
#include <event2/bufferevent_ssl.h>

#define SERVER_CRT "server.crt"
#define SERVER_KEY "server.key"
#define SERVER_PORT 9999
static void
ssl_readcb(struct bufferevent * bev, void * arg)
{
    struct evbuffer *in = bufferevent_get_input(bev);

    printf("Received %zu bytes\n", evbuffer_get_length(in));
    printf("----- data ----\n");
    printf("%.*s\n", (int)evbuffer_get_length(in), evbuffer_pullup(in, -1));

    bufferevent_write_buffer(bev, in);
}

static void
ssl_acceptcb(struct evconnlistener *serv, int sock, struct sockaddr *sa,
             int sa_len, void *arg)
{
    struct event_base *evbase;
    struct bufferevent *bev;
    SSL_CTX *server_ctx;
    SSL *client_ctx;

    server_ctx = (SSL_CTX *)arg;
    client_ctx = SSL_new(server_ctx);
    evbase = evconnlistener_get_base(serv);

    bev = bufferevent_openssl_socket_new(evbase, sock, client_ctx,
                                         BUFFEREVENT_SSL_ACCEPTING,
                                         BEV_OPT_CLOSE_ON_FREE);

    bufferevent_enable(bev, EV_READ);
    bufferevent_setcb(bev, ssl_readcb, NULL, NULL, NULL);
}

static SSL_CTX *
evssl_init(void)
{
    SSL_CTX  *server_ctx;

    /* 初始化openssl库 */
    SSL_load_error_strings();
    SSL_library_init();
    /* 初始化随机种子 */
    if (!RAND_poll())
        return NULL;

    server_ctx = SSL_CTX_new(SSLv23_server_method());

    if (! SSL_CTX_use_certificate_chain_file(server_ctx, SERVER_CRT) ||
        ! SSL_CTX_use_PrivateKey_file(server_ctx, SERVER_KEY, SSL_FILETYPE_PEM)) {
        puts("Couldn't read 'server.key' or 'server.crt' file.  To generate a key\n"
           "To generate a key and certificate, run:\n"
           "  openssl genrsa -out server.key 2048\n"
           "  openssl req -new -key server.key -out server.crt.req\n"
           "  openssl x509 -req -days 365 -in server.crt.req -signkey server.key -out server.crt");
        return NULL;
    }
    SSL_CTX_set_options(server_ctx, SSL_OP_NO_SSLv2);

    return server_ctx;
}

int
main(int argc, char **argv)
{
    SSL_CTX *ctx;
    struct evconnlistener *listener;
    struct event_base *evbase;
    struct sockaddr_in sin;

    memset(&sin, 0, sizeof(sin));
    sin.sin_family = AF_INET;
    sin.sin_port = htons(SERVER_PORT);
    sin.sin_addr.s_addr = htonl(0x7f000001); /* 127.0.0.1 */

    ctx = evssl_init();
    if (ctx == NULL){
        return 1;
    }
    evbase = event_base_new();
    listener = evconnlistener_new_bind(
                         evbase, ssl_acceptcb, (void *)ctx,
                         LEV_OPT_CLOSE_ON_FREE | LEV_OPT_REUSEABLE, 1024,
                         (struct sockaddr *)&sin, sizeof(sin));

    event_base_loop(evbase, 0);

    evconnlistener_free(listener);
    SSL_CTX_free(ctx);

    return 0;
}

编译

需要libevent-openssl库, 先用apt search libevent-openssl查找版本名,然后再安装,带上版本号如libevent-openssl-2.0-5

$ apt search libevent-openssl
Sorting... Done
Full Text Search... Done
libevent-openssl-2.0-5/xenial-updates,xenial-security,now 2.0.21-stable-2ubuntu0.16.04.1 amd64 [installed]
  Asynchronous event notification library (openssl)

gcc bufferevent_ssl.c -lssl -lcrypto -levent -levent_openssl
./a.out

由于ssl需要密钥,证书,第一次运行会失败,按照屏幕提示生成证书. 中间第二步骤会要求输入一些信息,一路回车即可

测试

待补充

从TCP到HTTPS代码实现-https服务器

2019年4月27日 · 阅读需 4 分钟

https 就是在http和tcp之间加一道加密的过程, 在代码上的实现和一般的TCP Server区别就两点

在accpet之后要由ssl接管套接字, 协商加密算法,交换密钥等.
之后的send(), recv()替换成SSL的 SSL_write(), SSL_read()

代码实现

https_client.c

#include <openssl/bio.h>  
#include <openssl/ssl.h>  
#include <openssl/err.h>

#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>

#define SERVER_PORT 443
#define CA_CERT_FILE "server/ca.crt"
#define SERVER_CERT_FILE "server/server.crt"
#define SERVER_KEY_FILE "server/server.key"

SSL_CTX  *ssl_ctx_int();
SSL *client_ssl_init(SSL_CTX *ctx, int fd);
int bind_and_listen();

int main(int argc, char **argv)  
{  
    printf("Server Running at hppts://127.0.0.1/\n");

    int data_len;  
    struct sockaddr_in addr;   
    int listen_fd, accept_fd;  
    socklen_t len  = sizeof(addr);
    SSL_CTX *ctx = ssl_ctx_int();
    listen_fd = bind_and_listen();
    int times = 0;
    while(1){
        char recvbuf[1024] = {0};
        char sendbuf[1024] = {0};
       
        accept_fd = accept(listen_fd, (struct sockaddr *)&addr, &len);
        SSL *ssl = client_ssl_init(ctx, accept_fd);
        data_len = SSL_read(ssl,recvbuf, sizeof(recvbuf));  
        fprintf(stdout, "[%d] Get %d data:\n%s\n",times++, data_len, recvbuf);

        sprintf(sendbuf, "HTTP/1.0 200 OK\r\n\r\n<h1>hello ssl! [%d]</h1>", times);
        SSL_write(ssl, sendbuf, strlen(sendbuf));  
    
        SSL_free (ssl);  
        close(accept_fd);
    }
    SSL_CTX_free (ctx);  
    return 0;
}

ssl_ctx_int()

SSL初始化,服务器加载证书私钥

SSL_CTX  *ssl_ctx_int(){
    SSLeay_add_ssl_algorithms();  
    OpenSSL_add_all_algorithms();  
    SSL_load_error_strings();  
    ERR_load_BIO_strings();  
    SSL_CTX *ctx = SSL_CTX_new (SSLv23_method());
    if(ctx == NULL){
        printf("SSL_CTX_new error!\n");
        exit(0);
    }

    // 是否要求校验对方证书 此处不验证客户端身份所以为： SSL_VERIFY_NONE
    SSL_CTX_set_verify(ctx, SSL_VERIFY_NONE, NULL);  

    // 加载CA的证书  
    if(!SSL_CTX_load_verify_locations(ctx, CA_CERT_FILE, NULL)){
        printf("SSL_CTX_load_verify_locations error!\n");
        ERR_print_errors_fp(stderr);
        exit(0);
    }

    // 加载自己的证书  
    if(SSL_CTX_use_certificate_file(ctx, SERVER_CERT_FILE, SSL_FILETYPE_PEM) <= 0){
        printf("SSL_CTX_use_certificate_file error!\n");
        ERR_print_errors_fp(stderr);
        exit(0);
    }

    //加载自己的私钥  私钥的作用是，ssl握手过程中，对客户端发送过来的随机
    //消息进行加密，然后客户端再使用服务器的公钥进行解密，若解密后的原始消息跟
    //客户端发送的消息一直，则认为此服务器是客户端想要链接的服务器
    if(SSL_CTX_use_PrivateKey_file(ctx, SERVER_KEY_FILE, SSL_FILETYPE_PEM) <= 0){
        printf("SSL_CTX_use_PrivateKey_file error!\n");
        ERR_print_errors_fp(stderr);
        exit(0);
    }

    // 判定私钥是否正确  
    if(!SSL_CTX_check_private_key(ctx)){
        printf("SSL_CTX_check_private_key error!\n");
        ERR_print_errors_fp(stderr);
        exit(0);
    }
    return ctx;
}

client_ssl_init()

和客户端ssl握手,协商算法,交换公钥等

SSL *client_ssl_init(SSL_CTX *ctx, int fd)
{
    if (ctx == NULL){
        printf("The SSL_CTX is NULL\n");
        exit(0);
    }
    // 将连接付给SSL  
    SSL *ssl = SSL_new (ctx);
    if(!ssl){
        printf("SSL_new error!\n");
        ERR_print_errors_fp(stderr);
        exit(0);
    }
    SSL_set_fd (ssl, fd); 
    if(SSL_accept (ssl) != 1){
        int icode = -1;
        ERR_print_errors_fp(stderr);
        int iret = SSL_get_error(ssl, icode);
        printf("SSL_accept error! code = %d, iret = %d\n", icode, iret);
    }

    return ssl;
}

bind_and_listen()

建立套接字,绑定并监听,这个没什么说的

int bind_and_listen()
{
    int listen_fd;
  
    listen_fd = socket(AF_INET, SOCK_STREAM, 0);
    if( listen_fd == -1 ){
        printf("socket error\n");
        exit(0);
    }
    int one = 1;
    if (setsockopt(listen_fd, SOL_SOCKET, SO_REUSEADDR, &one, sizeof(one)) < 0) {
        printf("setsockopt error\n");
        close(listen_fd);
    }
    struct sockaddr_in sin;
    sin.sin_family = AF_INET;
    sin.sin_addr.s_addr = 0;
    sin.sin_port = htons(SERVER_PORT);

    if(bind(listen_fd, (struct sockaddr *)&sin, sizeof(sin)) < 0 ){
        printf("Bind error\n");
        exit(0);
    }

    if(listen(listen_fd, 5) < 0){
        printf("listen error\n");
        exit(0);
    }

    return listen_fd;
}

编译运行

把上面的代码写到一个文件当中命名为https_server.c

gcc https_server.c -lssl -lcrypto -o https_server

此时还不能运行,还要生成服务器密钥,证书才可以, 看一下代码中宏定义的路径,生成证书放到相应路径

sudo ./https_server #监听443端口 需要root权限

然后打开浏览器,访问 https://127.0.0.1/, 因为证书是自制的,所以一般会拦截. 测试Chrome浏览器会拦截无法访问, 用Firefox忽略风险可以继续访问.

openssl证书链验证

2019年4月23日 · 阅读需 2 分钟

证书链

浏览器是怎么保证访问的网站是正经的官方网站而不是其他的钓鱼网站呢，Chome浏览器访问网站时，可信任的网站地址旁边会有一个绿色的锁标准，表明该网站是可信任的，它是怎么知道该网站是可信任的呢。

因为浏览器会内置一些证书，其他证书都是有这些证书签发的，通过内置的证书来验证其他证书的有效性。这些浏览器内置的证书叫做Root CA(根CA证书)，其他网站的证书都是由Root CA证书一层一层往下签发的。

证书认证原理

服务器首先生成一个密钥对，把公钥提交给CA
CA用自己的私钥对服务器提供的公钥进行签名得到证书
https服务器在与客户端进行连接的时候会将证书和公钥一起发给客户端，客户端用CA的公钥对证书进行验证，对比一致则证明该证书确实是CA发布的。

通过以上的机制就就确认的网站的真实性。

openssl生成证书链

生成Root CA密钥和自签证书

openssl genrsa -out ca.key 2048
openssl req -new -x509 -key ca.key -out ca.crt -days 3650

生成server端密钥和证书请求

openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr

用Root CA给server颁发证书前先构造环境(ubuntu 18.04测试通过)

cp /etc/ssl/openssl.cnf .
mkdir demoCA/newcerts -p
touch demoCA/index.txt
touch demoCA/index.txt.attr
echo "00" > demoCA/serial

用自签Root CA颁发证书。注意，根证书和要签发的证书，国家/省/城市字段要一样，否者会失败

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

说明​

代码​

编译​

测试​

代码实现​

https_client.c​

ssl_ctx_int()​

client_ssl_init()​

bind_and_listen()​

编译运行​

证书链​

证书认证原理​

openssl生成证书链​

说明

代码

编译

测试