openssl使用sni支持多域名、多证书服务

最新推荐文章于 2024-03-15 12:40:26 发布
原创 最新推荐文章于 2024-03-15 12:40:26 发布 · 2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#openssl #sni #多域名 #tls #ssl

本文探讨了如何在SSL_CTX中实现服务器名称指示(SNI)扩展,通过回调函数serverNameCallback选择合适的SSL_CTX实例,根据客户端请求的主机名进行证书切换,确保HTTPS服务能正确响应多域名请求。

 

map<string,SSL_CTX*> g_ctxMap;
SSL_CTX* serverSslCtx = NULL;
static int serverNameCallback(SSL * ssl, int * ad, void * arg)
{
	if(ssl == NULL)
		return SSL_TLSEXT_ERR_NOACK;

	const char * servername = SSL_get_servername(ssl,TLSEXT_NAMETYPE_host_name);
    SSL_CTX* ctx = NULL;    
	if (servername && strlen(servername) > 0)
	{
        //从g_ctxMap中找到servername对应的SSL_CTX
		_OUTPUT(INFO, "%s name = %s\n", __FUNCTION__, servername);
	}
	else
	{
        //选一个默认的SSL_CTX
		_OUTPUT(INFO, "%s name is NULL\n", __FUNCTION__);
	}
    
	SSL_set_SSL_CTX(ssl, ctx);
	SSL_set_verify(ssl, SSL_CTX_get_verify_mode(ctx),                             
    SSL_CTX_get_verify_callback(ctx));
	SSL_set_verify_depth(ssl, SSL_CTX_get_verify_depth(ctx));
	SSL_set_options(ssl, SSL_CTX_get_options(ctx));
	return SSL_TLSEXT_ERR_OK;
}

//初始化一个通用的SSL_CTX,设置好回调函数
//接受客户端的连接sock,与通用SSL_CTX绑定,后面收到包就会触发回调,再根据域名绑定对应的SSL_CTX
serverSslCtx = SSL_CTX_new(SSLv23_server_method());
SSL_CTX_set_tlsext_servername_callback(serverSslCtx, serverNameCallback);


//获取证书里的域名
X509* x509 = SSL_CTX_get0_certificate(serverSslCtx);
X509_NAME* pSubName = X509_get_subject_name(x509);
char csBuf[256] = { 0 };
X509_NAME_get_text_by_NID(pSubName, NID_commonName, csBuf, 256);

 

OpenSSL-SNI
Remy的学习记录
09-14 1万+
一、    什么是SNI?     SNI是Server Name Indication的缩写,是为了解决一个服务使用多个域名和证书的SSL/TLS扩展。它允许客户端在发起SSL握手请求时(客户端发出ClientHello消息中)提交请求的HostName信息,使得服务器能够切换到正确的域并返回相应的证书。     在SNI出现之前,HostName信息只存在于HTTP请求中,但SSL/TL
C语言使用openssl解析TLS报文(SNI和证书)
Chuancey的博客
02-15 8065
项目中需要对TLS报文中SNI和证书部分进行过滤,并且之前并没有接触过这方面的内容,为了解决这一需求,期间学习了不少知识,也走了不少弯路。就写下这篇博客记录分享一下。项目背景:项目是一个类似防火墙的软件,可以过滤特定的TLS流量。实现原理就是通过对TLS数据包流量进行解析,得到想要过滤的字段数据,根据过滤规则决定是否放行该TLS流量。本次需要过滤的TLS数据包主要针对SNI和证书,TLS报文的版本为1.2。使用版本为1.0.2k的openssl进行C编程。
OpenSSL SNI
weixin_30787531的博客
08-02 386
网站ssl检测工具   https://www.ssllabs.com/ssltest/analyze.html?d=gggl.houseoflux.com.cn   https://myssl.com/ #网站SSL安全监测   今天遇到一个问题,通过cdn取源站的数据取不到,通过测试确认源站支持的cipher suites 与我们不同。   客户源站:    ...
HTTPS 深入浅出 - SNI
ahyz9638的博客
03-25 1767
SNI(Server Name Indication) 用来解决一个服务器拥有多个域名的情况 之前的 SSL 握手信息中并没有携带客户端要访问的目标地址。这样会导致一个问题,如果一台服务器有多个虚拟主机,且每个主机的域名不一样,使用了不一样的证书,该返回哪一个给客户端? 做法就是在 Client Hello 中补上 Host 信息,SNITLSv1.2 开始得到协议的支持,当...
【网络】openssl及其使用
xhdxhdxhd的博客
01-01 571
介绍 OpenSSL是面向TLSSSL协议的全能工具,同时也是一个通用的加解密工具。 生成https的X509v3证书 参考:https://answers.ssh.com/questions/1557/how-to-create-x509v3-serveruser-certificates-with-openssl-and-then-how-to-configure-tectia-clien...
openssl3.2 - note - Getting Started with OpenSSL
谢绝(无视)留言与私信
03-15 529
看到官方文档 Getting Started with OpenSSL, 记录一下笔记。
Linux如何检查是否支持SNI,WDCP下的纯Nginx支持多域名ssl证书(TLS SNI support disabled)解决方案...
weixin_30845345的博客
05-14 755
本帖最后由 longyushen 于 2013-11-27 19:03 编辑WDCP下的纯Nginx支持多域名ssl证书(TLS SNI support disabled)解决方案来本论坛搜索的时候,没有发现有任何的解决方案,发帖提问也没有人能及时回答,今天经过一天的百度和研究,终于搞定了,一下是我的具体操作过程,希望以后能帮得了大家nginx如果编译的时候使用openssl如果没有添加enabl...
Nginx实现多域名HTTPS证书配置的完整步骤
07-12
如今 HTTPS 已成标配,要在一台服务器上跑多个 HTTPS 站点,需确保编译时加入 --with-http_ssl_module,并依赖支持 SNIOpenSSLSNI 允许客户端在 TLS 握手时携带域名,服务器据此返回对应证书,实现同一 IP 多...
执行虚拟主机使用SNI进行多域名SSL配置
SNITLS协议的扩展,它允许客户端在握手过程中告诉服务器将要连接的主机名(域名),使得服务器能够根据不同的主机名使用不同的证书进行SSL连接,从而支持在同一个IP地址上配置多个域名的SSL证书。
TLS SNI测试
LoongTu
04-02 2713
文章目录概述测试启动服务器客户端发起连接,不指定servername客户端发起连接,指定servername客户端发起连接,指定错误servername 概述 服务器名称指示(Server Name Indication,缩写:SNI)是TLS的一个扩展协议,首次发布在openssl 0.9.8f版本。 在该协议下,在握手过程开始时客户端告诉它正在连接的服务器要连接的主机名称。这允许服务器在相同的...
dtls到srtp的整个流程
qq_27031005的博客
12-17 1438
1、SSL_CTX_new创建上下文 2、SSL_CTX_set_security_level设置加密等级 3、SSL_CTX_use_certificate配置证书上下文到ssl上下文 4、SSL_CTX_use_PrivateKey配置公钥给ssl 5、d2i_X509转换字符串到x509证书句柄,可向ssl的证书store中添加该证书调用X509_STORE_add_cert实现,SSL_CTX_get_cert_store支持ssl_ctx获取句柄 6、SSL_CTX_set_verify设置需要
openssl进行SSL编程
热门推荐
zzhongcy的专栏
03-24 1万+
主要介绍openssl进行SSL通信的一些函数以及过程,主要是初始化过程,至于数据的接收以及后续处理可以具体问题具体分析。 oad所有的SSL算法:   OpenSSL_add_ssl_algorithms();    建立SSL所用的method:   SSL_METHOD *meth=SSLv23_method();    初始化上下文情景:   SSL_CTX
openssl 常用api的作用与使用
小x的博客
12-30 5372
服务端编写步骤 SSL_library_init SSL的初始化 OpenSSL_add_all_algorithms 载入所有的SSL算法 SSL_load_error_strings() 载入所有SSL错误消息 SSL_CTX_new() 产生一个SSL CTX SSL_CTX_use_certificate_file 载入用户的数字证书 X509 *SSL_get_peer_certificate(const SSL *ssl);// 获取对方的数字证书 ...
OpenSSL之s_client分析
u012023606的博客
09-09 6115
系列文章目录 本系列OpenSSL使用的代码版本为:1.0.2o 前言 本篇文章纯属个人学习的一点经验分享,若有不对之处烦请各位大神现身指点,希望能和大家一起共同进步 一、s_client是什么? s_client是openssl命令行插件中的客户端部分,使用openssl命令进行ssl连接,命令如: openssl s_client -cert ./sm2_pki.cer -key ./priv.key -cipher ECC-SM4-SM3 -connect ip:port 二、s_cli
使用 openssl 进行 https 请求的步骤
QCZL_CC的博客
08-30 2534
使用 openssl 进行 https 请求的步骤如下: 1、创建SSL_CTX SSL_CTX_new(SSLv23_method()) 2、创建SSL SSL_new([SSL_CTX]) 3、绑定 socket SSL_set_fd([SSL], [socket]) 4、建立连接 SSL_connect([SSL]) 5、发送数据 SSL_write([SSL],request,request_...
openssl编写SSL,TLS程序
太郎之石的专栏
04-18 3064
openssl编写SSL,TLS程序发布日期:2002-09-19文章内容:--------------------------------------------------------------------------------作者:yawl(yawl@nsfocus.com)日期:2000-08-15一:简介:SSL(Secure Socket Layer)是netscape公司提出的
OpenSSL从内存中加载密钥、证书、证书链、根证书
C语言,网络安全,嵌入式
04-11 2675
众所周知,使用OpenSSL建立连接,需要加载密钥、证书、证书链、根证书等,这些接口从文件中加载很方便,但有些使用场景使我们必须从内存加载,以下是保姆级介绍OpenSSL从内存中加载密钥、证书、证书链、根证书的具体实现方法。
使用openssl创建多泛域名及IP的自签名证书
qq1091606981的专栏
01-06 2733
使用openssl创建多泛域名及IP的自签名证书
openssl在客户端配置多个sni
最新发布
08-12
OpenSSL 客户端中配置多个 SNI(Server Name Indication)主要用于测试或模拟客户端连接不同域名的 HTTPS 服务OpenSSL 提供了命令行工具和编程接口来实现 SNI 的设置。 ### 使用 OpenSSL 命令行配置多个 SNI OpenSSL 的 `s_client` 子命令支持通过 `-servername` 参数指定 SNI 主机名,从而在客户端连接时发送目标域名信息。这种方式适用于测试不同域名的证书是否正确加载[^2]。 例如,连接 `example.com` 并指定 SNI 为 `example.com`: ```bash openssl s_client -showcerts -connect example.com:443 -servername example.com ``` 如果需要测试多个域名,可以依次更改 `-servername` 参数的值: ```bash openssl s_client -showcerts -connect example.com:443 -servername test.com ``` 这种方式可以验证服务器是否根据 SNI 返回了正确的证书。 ### 使用 OpenSSL 编程接口配置多个 SNI 在编程层面,OpenSSL 提供了 `SSL_set_tlsext_host_name()` 函数用于设置客户端的 SNI 扩展。该函数应在连接建立之前调用,以确保TLS 握手期间发送正确的主机名。 以下是一个使用 OpenSSL 编程接口设置多个 SNI 的示例代码: ```c #include <openssl/ssl.h> #include <openssl/err.h> void connect_with_sni(const char *hostname, const char *sni_name) { SSL_library_init(); SSL_CTX *ctx = SSL_CTX_new(TLS_client_method()); SSL *ssl = SSL_new(ctx); // 设置 SNI 名称 SSL_set_tlsext_host_name(ssl, sni_name); // 建立连接的代码省略 // ... // 清理资源 SSL_free(ssl); SSL_CTX_free(ctx); } int main() { connect_with_sni("example.com", "example.com"); connect_with_sni("example.com", "test.com"); return 0; } ``` 上述代码中,`connect_with_sni` 函数接受主机名和 SNI 名称作为参数,分别用于建立连接和设置 SNI。通过这种方式,可以在客户端模拟连接多个域名并分别设置 SNI。 ### 注意事项 - 客户端必须支持 SNI,否则服务器可能无法正确识别目标域名,导致连接失败或返回默认证书[^1]。 - OpenSSL 版本应为 0.9.8f 或更高,以确保SNI支持[^3]。 - 使用 `s_client` 命令时,若目标服务器未启用 SNI,可省略 `-servername` 参数。 ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值