关于OpenSSL支持USB-KEY证书的尝试

最新推荐文章于 2022-03-21 21:33:55 发布
转载 最新推荐文章于 2022-03-21 21:33:55 发布 · 2.9k 阅读 · 2

因本人工作需要,需要在OpenSSL中访问USB-KEY中的证书和服务器建立连接。

在神童哥的帮助下,得出二种实现方式。

1、 如果USB-KEY的驱动程序支持PKCS#11接口,则OpenSSL通过engine可以比较方便地访问USB-KEY。

2、 听说最新版本的OpenSSL 0.9.8i版本已经增WINDOWS CAPI的支持。

因本人比较懒,就直接尝试了OpenSSL 0.9.8i版本。

在网上参考了这个网站的信息

http://markmail.org/message/hrrq3hhciz6vml6w#query:OPENSSL%20CryptoAPI%20ENGINE+page:1+mid:ufpkpzqtk5ohn5hz+state:results

有兴趣的朋友可以去看看。



好,现在开始工作。

1、 下载OpenSSL 0.9.8i,并解包,地址:

http://www.openssl.org/source/openssl-0.9.8i.tar.gz

2、 下载ActivePerl,并安装,地址:

http://www.activestate.com/Products/activeperl/index.mhtml

3、 编译库,因为OpenSSL 0.9.8i默认是不打开CAPI支持的,所以在编译前先修改配置。因为我用的是VC,所以用

perl Configure VC-WIN32 enable-capieng -DOPENSSL_SSL_CLIENT_ENGINE_AUTO=capi -DOPENSSL_CAPIENG_DIALOG 

先打开enable-capieng,再把SSL_CLIENT的ENGINE自动指向CAPI

4、 开始编译,编译都一样,我就不多说了,网上资料多的是。

经过上面步骤,库的编译就完成了。



下面开始测试。

以前我用OPENSSL做CLINET的时候,是通过文件证书方式提供,不提供证书,对那些需要客户端证书的网站是无法访问。

基于这个前提,进行了以下试验。

进行对USB-KEY的试验(特别说明,试验用的USB-KEY是公安专用,所以第一次访问USB-KEY时会要求输入KEY的密码,并在公安内网中进行试验。)

1、 用新编译的软件发起HTTPS页面请求,软件弹出公安KEY的密码输入窗口。(可以证明去访问了CAPI,并成功访问到该USB)。

2、 输入密码后,返回的页面中带有USB-KEY主人的信息。(被证明USB-KEY支持成功)

3、 拨出USB-KEY,再次请求该页面。返回的页面中不带任何人员信息,直接跳转到登录窗口。

4、 再次插入(测试软件不重启),再次请求HTTPS,又出现密码输入窗口,输入密码后,成功访问页面,页面中并带有USB-KEY主人的信息。

5、 再次请求该页面,没有出现密码输入窗口,页面返回正常,即同样带有USB-KEY主人的信息。

通过以上五步测试,证明新编译的OPENSSL 0.9.8i版本可以自动的向CAPI进行调用。这给需要在OPENSSL中支持CAPI接口的开发者来说是一种福音,至少对我来说是,不用自己写代码,还要测试等等,呵呵。

这个版本好像只支持WINDOWS下的CAPI接口,LINUX下的不清楚了。就说到这里,本着OPENSSL开源的原则,我把我的测试经过供大家参考。以后如果有类似需求的朋友可以尝试一下。
wzsy
关注
USBKey使用openssl链接
wuyantt的专栏
09-05 5189
OpensslUSBKey的研究 1.    USBKey USBKey是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。 2.    Openssl OpenSSL 是一个强大的安全套接字层
基于openssl的安全通信
kinginone的博客
05-07 1800
通过一段时间的学习,编写了一个安全通信实例,在这里分享一下心得。 openssl的安装和编译我在这里就不多说了,可以到openssl官网下载安装,https://www.openssl.org/。 mfc的学习在前面已经介绍了,在这里也不多介绍了。 可以看到编写一个综合性较强的项目,需要的是大量的知识,比如说socket编程,你需要了解其函数的用法和加载的流程。一个项目的大致方向应该有一定的方向感...
#2.4. 证书USBkey-二次开发.
07-25
======================================================= 目录 & 说明 ======================================================= ECCdemo 通过PKCS#11接口创建ECC密钥对,并进行签名和验签操作; ------------------------------------------------------- EnumObj 通过PKCS#11接口列举出Token中的各种对象,如证书,公钥,私钥,秘密密钥; ------------------------------------------------------- exportcert 通过PKCS#11接口输出Token中的证书的一些属性; ------------------------------------------------------- FormatKey 格式化Token,并重新划分公私有区大小,设置PIN码重试次数和密钥对数量。 ------------------------------------------------------- GetUSBInfos 通过PKCS#11接口获得slot, cryptoki, token的属性信息; ------------------------------------------------------- GuoMiTest 通过PKCS#11接口产生ssf33和scb2密钥,并进行加解密运算; ------------------------------------------------------- HMACTest 通过PKCS#11接口产生GENERIC SECRET密钥,并进行HMAC-SHA1功能验证; ------------------------------------------------------- InitToken 通过PKCS#11接口实现初始化操作,并进行Ansi和Utf8字符转换; ------------------------------------------------------- OTPDemo 通过PKCS#11接口产生HOTP密钥,并产生OTP结果; ------------------------------------------------------- PKCSDemo 通过PKCS#11接口创建RSA密钥对,并进行签名、加密、签名验证和解密的运算; ------------------------------------------------------- PKCStest 通过PKCS#11接口产生多种类型的密钥,如DES/3DES/RC2/RC4/RSA,并进行加解密运算; ------------------------------------------------------- 注:除Microsoft Visual C++外,你需要另外安装 Microsoft Platform SDK,并把SDK安装目录中的 include目录和lib目录分别放置在VC开发环境选项 (对于VC6来说,是菜单中Tools->Options...弹出的 对话框中的Directories页)中的目录(include) 和库(lib)中VC++的路径之前才能够正确编译链接运 行。
基于OpenSSL的服务器USB-key签发程序
WvW的专栏
02-15 1914
基于OpenSSL的服务器USB-key签发程序   0.生成一个CA根证书   1.生成ca.key  ca.crt    1.生成服务器   1.生成server.key及server.csr文件服务器保存此 server.key (私钥S),解密客户发过来的
简谈Opensslusbkey证书认证相结合
cjdxzy2010的专栏
03-26 3294
一般windows客户端在做证书认证时候,使用微软的winnet相关的函数即可。 但在某些情况下,这种方式不够灵活自由,那么就可以使用openssl库来实现。对于使用p12证书进行客户端认证的代码 在网上随便可以搜出一大堆,但是结合usbkey进行认证的就少之又少。这里介绍一下openssl里的engine技术来解决这种方法。 1.使用较新版本的openssl自带的capi引擎,该引
私钥、证书USBKey
CathyYang82的博客
06-06 2656
一、关于私钥的唯一性严格地讲,私钥既然是世上唯一且只由主体本身持有,它就必须由主体的计算机程序来生成。因为如果在别处生成将会有被拷贝的机会。然而在实际应用上并非如此,出于某些特殊需要(例如,如果只有一份私钥,单位的加密文件就会因为离职员工带走私钥而无法解密。)加密用的公/私钥对会要求在可信的第三方储存其备份。这样,加密用的私钥可能并不唯一。然而签名用的私钥则必须保持唯一,否则就无法保证被签名信息的
OpenSSL之安全通讯基础
weixin_33829657的博客
06-14 120
安全特性:任何一套安全的通讯系统在数据传输过程中至少具备以下三个特性:1,验证来源的合法性 2,保证数据的完整性 3,保证数据的私密性对称加密:对数据的私密性要求,我们可以通过对数据进行加解密来完成。如下图所示:数据加密(encryption):使用一个密钥(key)并通过一种加密算法将明文(...
SSL使用USBKey证书的需求分析(转)
xiliang_pan的专栏
06-07 5466
背景 很多系统,如炒股软件采用客户端/服务器结构,用户安装客户端炒股软件在本地计算机,并与证券公司的服务器系统连接,以完成股票的买卖等操作。 客户端与服务器端采用SSL安全通道连接,以防止第三方窃听和篡改通信的内容。但连接时不使用双向认证或者只使用文件证书来进行双向认证。这样做会存在一些风险。 1、 任何人获取了本地主机的访问权限就可以连接到服务器端。 2、 文件证书保存在本地计算机的磁盘
C++ 使用OpenSSL
热门推荐
xunmeng2002的专栏
09-04 1万+
最近在研究C++使用OpenSSL,前面的文章介绍了编译OpenSSL源码的过程,这里随便写下加密解密的用法。 MD5: #include <openssl\md5.h> #include <iostream> using namespace std; int md5_encrypt(const void* data, size_t len, unsigned ch...
揭开银行U盾的秘密---签发CA证书:单向认证+双向认证(含java代码)
weixin_45396965的博客
09-13 2051
签发CA证书:单向认证+双向认证目录开发前的环境准备:单向认证:双向认证:使用java模拟携带证书请求 目录 开发前的环境准备: 客户端: win10+火狐浏览器/谷歌 服务端: COS7+Tomcat9 Tomcat9的文件路径: /usr/local/tomcat9 单向认证: 一、生成CA根证书 新建一个目录,用于存放证书 mkdir -p /srv/ftp/cas 生成CA密钥对: openssl genrsa -out /srv/ftp/cas/cakey.pem 2048 RSA
Openssl Engine pkcs11 示例程序
02-17
OpenSSL的0.9.7版,Engine机制集成到了OpenSSL的内核中,成为了OpenSSL不可缺少的一部分。 Engine机制目的是为了使OpenSSL能够透明地使用第三方提供的软件加密库或者硬件加密设备进行加密。OpenSSL的Engine机制成功地达到了这个目的,这使得OpenSSL已经不仅仅使一个加密库,而是提供了一个通用地加密接口,能够与绝大部分加密库或者加密设备协调工作。当然,要使特定加密库或加密设备更OpenSSL协调工作,需要写少量的接口代码,但是这样的工作量并不大,虽然还是需要一点密码学的知识。Engine机制的功能跟Windows提供的CSP功能目标是基本相同的。支持PKCS#11接口的Engine接口
OpenSSL进行SSL通讯的一些问题
wangsifu2009的专栏
05-30 1574
这两个星期真是被OpenSSL给烦透了,几个很简单基本的问题(如果没人告诉你真的很难测出来)把我搞的。。哎,有时候真是不知道自己该不该搞技术,发现自己头脑真是蠢得很。。。   直接上正题。   第一个问题:   前面讲过OpenSSL可以使用windows下的CAPI引擎(我也不太清楚是从哪个版本开始后就开始支持了,网上说是0.9.8i后),但是OpenSSL在windows下默认编译
https双向认证访问管理后台,采用USBKEY进行系统访问的身份鉴别,KEY证书长度大于128位,使用USBKEY登录
qq_26265699的博客
04-13 9445
最近项目需求,需要实现用USBKEY识别用户登录,采用https双向认证访问管理后台管理界面,期间碰到过一些小问题,写出来给大家参考下。 1:前期准备工作 USBKEY 硬件:我买的是飞天诚信 epass1000ND 若干个(一个USBKEY绑定一个用户,等同于我们的银行U盾识别一样) USBKEY开发资料:CDROM_CN\PKI,找到该开发目录(跟厂家买硬件时一并给的
Openssl和PKCS#11的故事
qian0021514578
09-10 2190
1.1   What to do 通过Openssl和PKCS#11接口,使用USBKEY中的私钥和证书来签发一个下级证书。 1.2              背景 数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步 骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户...
OpenSSL生成密钥key详解
嵌入式软件实战派
03-21 1万+
如何通过OpenSSL生成密钥,方法和步骤详解
openssl生成CA证书
weixin_33754065的博客
06-28 170
生成密钥对 openssl genrsa -out cs2c-ca.key 1024 生成CA证书 openssl req -new -x509 -key catest.key -out cs2c-ca.crt cs2c-ca.crt 就是CA证书,可以用它为其它证书请求签发证书。 假设要为你的usbkey生成一个证书...
常用的openssl函数
a549875231的专栏
12-05 3593
常用的openssl函数base64解编码 依次调用EVP_DecodeInit(), EVP_DecodeUpdate(), EVP_DecodeFinal(),与md5和sha1类似,适用于数据量特别大时,分段解码,通过多次调用EVP_DecodeUpdate()实现。 调用int EVP_EncodeBlock(unsigned char *t, const unsigned char *f,
ca证书安装
最新发布
05-02
### 如何安装CA证书的操作指南 #### 准备工作 在开始之前,确保已经获取到所需的CA证书文件(通常为`.cer`或`.crt`格式)。如果尚未生成CA证书,则可以参考工具如OpenSSL或CFSSL来创建根证书和相关组件的证书。 #### 安装过程 以下是针对不同环境下的CA证书安装方法: --- ##### **Linux环境下安装Java CA证书** 对于基于Java的应用程序,在Linux环境中可以通过以下命令将CA证书导入到Java的信任库中: ```bash cd $JAVA_HOME/jre/lib/security/ wget --no-check-certificate https://example.com/path/to/yourRootCA.cer keytool -keystore cacerts -importcert -alias yourRootCA -file yourRootCA.cer -storepass changeit -noprompt chmod 755 -R $JAVA_HOME/jre/lib/security/cacerts ``` 此操作会将指定路径中的CA证书导入至Java的安全信任存储区,并设置默认密码`changeit`[^1]。 --- ##### **Kubernetes集群中配置自定义CA证书** 当部署Kubernetes集群时,为了实现TLS双向认证,需先构建自签名CA及其子证书。具体步骤如下: 1. 下载并安装CFSSL工具集用于生成证书。 ```bash mkdir -p $SSL_BIN_PATH/bin &&> /dev/null 2>&1 wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -P $SSL_BIN_PATH/bin/ wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -P $SSL_BIN_PATH/bin/ wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -P $SSL_BIN_PATH/bin/ cd $SSL_BIN_PATH/bin/ mv cfssl_linux-amd64 cfssl && mv cfssljson_linux-amd64 cfssljson mv cfssl-certinfo_linux-amd64 cfssl-certinfo chmod +x * && ln -sf $SSL_BIN_PATH/bin/cfssl* /usr/local/bin/ ``` 2. 使用CFSSL生成根证书(CA)以及各个组件所需的具体证书[^2]。 --- ##### **Windows操作系统下手动安装CA证书** 在Windows平台上可通过图形界面完成CA证书的手动安装流程: 1. 双击下载好的`.cer`或者`.crt`文件; 2. 按照弹窗指引选择“将所有的证书都放入下列储存位置”,点击浏览按钮定位到受信根证书颁发机构列表; 3. 确认保存更改即可生效。 注意:部分场景可能还需要额外安装对应的硬件驱动支持才能正常使用某些类型的USB Key形式承载的企业级数字证书产品[^4]。 --- ##### **Web服务器Apache/Nginx加载CA中间链** 为了让客户端浏览器能够验证网站的真实性,还需确保证书链条完整上传到了web server端。例如Nginx配置样例: ```nginx server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/fullchain.pem; # 包含中级CA在内的整个链条 ssl_certificate_key /path/to/private.key; # 私钥文件 ... } ``` --- #### 注意事项 - 不同版本的操作系统、应用软件可能会有不同的处理方式,请参照官方文档进一步确认细节差异。 - 如果遇到权限不足错误,请尝试通过sudo提升执行权限后再重试相应指令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值