利用 openssl api 实现 TLS 双向认证

最新推荐文章于 2025-10-02 03:22:51 发布
原创 最新推荐文章于 2025-10-02 03:22:51 发布 · 519 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #ssl

1. 环境

  1. openssl1.1.1g

wget https://github.com/openssl/openssl/releases/download/OpenSSL_1_1_1g/openssl-1.1.1g.tar.gz
sha256 为: ddb04774f1e32f0c49751e21b67216ac87852ceb056b75209af2443400636d46

  1. Linux 环境

2. 静态编译 openssl

tar -zxvf openssl-1.1.1g.tar.gz
cd  openssl-1.1.1g

./config -fPIC no-shared
make -j 4

3. TLS 使用到的证书生成

#!/bin/bash

# 生成 CA
openssl genrsa -out ca.key 4096
openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt \
  -subj "/C=CN/ST=Beijing/L=Beijing/O=MyOrg/CN=MyCA"

# 生成服务器证书
openssl genrsa -out server.key 4096
openssl req -new -key server.key -out server.csr \
  -subj "/C=CN/ST=Beijing/L=Beijing/O=MyOrg/CN=localhost"
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial \
  -out server.crt -days 365 -sha256

# 生成客户端证书
openssl genrsa -out client.key 4096
openssl req -new -key client.key -out client.csr \
  -subj "/C=CN/ST=Beijing/L=Beijing/O=MyOrg/CN=MyClient"
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial \
  -out client.crt -days 365 -sha256

# 清理临时文件
rm -f server.csr client.csr ca.srl

echo "证书生成完成!"

3. Linux C 代码调用 openssl api

  1. server.c
#include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <arpa/inet.h>
#include <openssl/ssl.h>
#include <openssl/err.h>

#define PORT 4433
#define CERT_FILE "server.crt"
#define KEY_FILE "server.key"
#define CA_FILE "ca.crt"

void init_openssl()
{
   
   
    SSL_load_error_strings();
    OpenSSL_add_ssl_algorithms();
}

void cleanup_openssl()
{
   
   
    EVP_cleanup();
}

SSL_CTX *create_context()
{
   
   
    const SSL_METHOD *method;
    SSL_CTX *ctx;

    method = TLS_server_method();
    ctx = SSL_CTX_new(method);
    if (!ctx)
    {
   
   
        perror("Unable to create SSL context");
        ERR_print_errors_fp(stderr);
        exit(EXIT_FAILURE);
    }

    return ctx;
}

void configure_context(SSL_CTX *ctx)
{
   
   
    /* 设置服务器证书 */
    if (SSL_CTX_use_certificate_file(ctx, CERT_FILE, SSL_FILETYPE_PEM) <= 0)
    {
   
   
        ERR_print_errors_fp(stderr);
        exit(EXIT_FAILURE);
    }

    /* 设置服务器私钥 */
    if (SSL_CTX_use_PrivateKey_file(ctx, KEY_FILE, SSL_FILETYPE_PEM) <= 0)
    {
   
   
        ERR_print_errors_fp(stderr);
        exit(EXIT_FAILURE);
    }

    /* 验证私钥是否匹配证书 */
    if (!SSL_CTX_check_private_key(ctx))
    {
   
   
        fprintf(stderr, "Private key does not match the public certificate\n");
        exit(EXIT_FAILURE);
    }

    /* 设置信任的CA证书 */
    if (SSL_CTX_load_verify_locations(ctx, CA_FILE, NULL) != 1)
    {
   
   
        ERR_print_errors_fp(std
最低0.47元/天 解锁文章
yong1585855343
关注
openssl命令行和API
且行且珍惜
06-02 833
当安装openssl轻量版时(OpenSSL v1.1.1gLight),可以使用openssl命令进行算法的验证。若需要使用API进行算法验证,则需要安装完整版,这两个的下载路径为:http://slproweb.com/products/Win32OpenSSL.html。 AES-256 CBC模式 加盐,使用pass加密文件 命令行为: 加密为:openssl enc -aes-256-cbc -e -md md5 -in input.txt -out encrypted.txt -pass.
Openssl API
11-01
主要提供了大数、随机数、公钥算法、证书等API接口介绍
C语言加密开发实战:OpenSSL API完全指南
最新发布
gitblog_00314的博客
10-02 856
你是否还在为C语言加密功能开发烦恼?面对证书管理、数据加密、SSL握手等复杂场景无从下手?本文将带你系统掌握OpenSSL API的核心用法,通过实战案例快速实现安全通信功能,所有代码示例均来自[apps/](https://link.gitcode.com/i/6615924e9f632ea77f40f4886a63ef41)目录下的官方工具源码,确保专业可靠性。 ## 环境搭建与配置 ##...
OpenSSL API
刚刚起步的菜鸟
10-12 4065
/**  * @file cert_openssl.c  * @brief 利用openssl api处理证书  * @author zy  * @date 2014-10-11 modify  */ #include &lt;stdio.h&gt; #include &lt;unistd.h&gt; #include &lt;openssl/pem.h&gt; #include &lt;ope...
OpenSSL C API [HOWTO: Using Openssl C library]
RToax
08-10 2558
Table of Contents HOWTO: Using Openssl C library Installing Openssl library Compiling your C program with the Openssl library A few pointers on thedo_cryptfunction Libssl API How to get libssl...
使用 OpenSSL API 建立安全连接 - 双向认证
好习惯成就伟大
11-18 564
使用 OpenSSL API 进行安全编程 一、概念: 1.什么是 SSLSSL 是一个缩写,全称是 Secure Sockets Layer。 它是支持在 Internet 上进行安全通信的标准,并且将数据密码术集成到了协议之中。 数据在离开您的计算机之前就已经被加密,然后只有到达它预定的目标后才被解密。 证书和密码学算法支持了这一切的运转,使用 OpenSSL,您将有机会切身体会它们。 可以将 SSL 和安全连接用于 Internet 上任何类型的协议, ...
使用 OpenSSL API 进行安全编程
sunny_98_98的博客
11-20 986
原文 一篇2012年的文章,做了格式化,方便阅读。感谢原作者! 概念 什么是 SSL SSL 是一个缩写,全称是 Secure Sockets Layer。 它是支持在 Internet 上进行安全通信的标准,并且将数据密码术集成到了协议之中。数据在离开您的计算机之前就已经被加密,然后只有到达它预定的目标后才被解密。证书和密码学算法支持了这一切的运转,使用 OpenSSL,您将有机会切身体会它们。 可以将 SSL 和安全连接用于 Internet 上任何类型的协议,不管是 HTTP、POP3,还是 FTP
Openssl Socket实现SSL双向认证连接 -易语言
06-12
在本教程中,我们将讨论如何使用OpenSSL库通过Socket实现SSL双向认证连接。 首先,让我们了解什么是SSL(Secure Sockets Layer)和TLS(Transport Layer Security)。SSL是一种用于网络通信中加密传输数据的安全...
JAVA实现SSL/TLS双向认证源代码
02-02
总的来说,实现Java的SSL/TLS双向认证需要对网络安全和Java的SSL/TLS API有深入的理解。通过`keytool`和`openssl`管理证书,以及在`TeslaSSLServer`和`TeslaSSLClient`中配置SSLContext,我们可以创建安全的双向认证...
Openssl实现双向认证教程(附服务端客户端代码)
09-14
本教程将深入探讨如何使用OpenSSL实现双向认证,并提供服务端和客户端的示例代码。 1. **OpenSSL 双向认证基础** 双向认证要求客户端和服务器都需要提供有效的证书来证明其身份。服务器通常需要一个由受信任的证书...
Golang 实现双向 TLS 认证的完整教程
Golang编程笔记的博客
05-17 791
本文旨在提供一份完整的Golang双向TLS(mTLS)认证实现指南,覆盖从基础概念到实际部署的全过程。TLS/SSL协议基础证书体系与PKIGolang标准库中的crypto/tls包使用实际开发中的最佳实践文章首先介绍TLS双向认证的基本概念,然后逐步讲解证书生成、服务端和客户端实现,最后探讨实际应用中的注意事项和优化策略。: 传输层安全协议,用于在网络通信中提供加密和身份验证双向认证(mTLS): TLS的一种模式,要求客户端和服务器都验证对方的身份。
openssl API 函数库
11-18
详细介绍了opensslAPI,帮助用户利用openssl库函数快速开发网络安全程序
OpenSSL API编程
fryingpan的专栏
10-20 937
相关代码: server端: #include "stdafx.h" #include winsock2.h>  #include conio.h>  #include stdio.h>  #include "openssl/x509.h"  #include "openssl/ssl.h"  #include "openssl/err.h"
深入学习OpenSSL API:安全通信与加密技术
weixin_42466723的博客
05-26 971
OpenSSL是一个功能强大的加密库,它广泛应用于网络应用和服务器的安全通信。它提供了一个软件库,这个库实现SSL/TLS协议,同时还支持多种密码算法、密钥管理、证书操作和随机数生成等功能。对于开发者而言,OpenSSL不仅仅是一个工具,它更是一个集合了安全加密、证书处理等多重复杂功能的API集合。在深入探索OpenSSL之前,理解其API的基本结构和功能是十分必要的。本章将带您初步了解OpenSSL API的全貌,以及它在现代信息安全中的地位和作用。
OpenSSL API入门和踩坑大全
xmcy001122的专栏
05-24 7161
SSL学习笔记 OpenSSL库基础 根据 官方的例子,OpenSSL常用的结构体和函数如下: 初始化OpenSSLSSL_library_init():初始化SSL算法库函数 SSL_load_error_strings():载入所有SSL 错误消息 OpenSSL_add_all_algorithms(): 载入所有SSL 算法 加载和验证证书 通过SSL_CTX_new(SSL_METHOD *method)创建一个SSL_CTX *实例,用来保存证书的私钥。其中method通过TLS_
OpenSSL使用指南之API【转载内容】
taizans Blog
05-14 1833
OpenSSL Org OpenSSL使用指南之API from:http://findingjob.blog.sohu.com/234655741.html。thx ~ “我的奋斗”!   4     算法编程API OpenSSL中支持众多的密码算法,并提供了很好的封装和接口。密码算法主要分为如下几类:对称算法、公钥算法、散列算法、随机数产生算法等。 OpenSSL
OpenSSLAPI编程 - C/C++实现AES、DES、3DES、SM4对称加密算法
new9232的博客
05-23 900
本文章介绍了OpenSSL计算对称加解密算法(AES、DES、3DES、SM4等)的相关接口,并使用C语言实现了AES和SM4加解密。
java实现TLS双向认证
03-08
<think>嗯,用户想了解如何使用Java实现TLS双向认证。首先,我得回忆一下TLS双向认证的基本概念。双向认证,也就是客户端和服务器端都要验证对方的证书,确保双方的身份都是可信的。这和单向认证不同,单向认证只需要客户端验证服务器的证书,而服务器不验证客户端的。 那Java里怎么实现这个呢?我记得Java的SSL/TLS实现主要是通过JSSE(Java Secure Socket Extension)来完成的。双向认证的话,需要在服务器和客户端都配置信任库和密钥库。信任库用来存放可信任的证书,而密钥库则存放自己的私钥和证书。 首先,可能需要生成证书。通常可以用keytool来生成自签名证书,或者用OpenSSL。不过用户可能更熟悉keytool,因为它是Java自带的工具。生成服务器端和客户端的密钥对和证书,然后导出证书,互相导入到对方的信任库中。 接下来,服务器端的代码需要设置SSLContext,指定密钥库和信任库的位置和密码。然后创建SSLServerSocket,设置需要客户端认证。比如,在服务器端代码中,使用System.setProperty来指定javax.net.ssl.keyStore和trustStore,这可能是个方法,或者更好的做法是在代码中通过SSLContext来配置,这样更灵活。 客户端同样需要配置SSLContext,指定自己的密钥库和信任库。然后创建SSLSocket连接到服务器,进行握手。这时候,双方都会验证对方的证书是否可信。 不过要注意,证书的生成是否正确,比如密钥库的类型,默认是JKS,但现在可能更多使用PKCS12。所以在生成的时候需要指定-storetype参数。另外,证书的CN(Common Name)或者SAN(Subject Alternative Name)可能需要正确设置,否则可能导致验证失败。 可能遇到的问题包括证书路径找不到,密钥库密码错误,或者证书没有正确导入到信任库中。这时候需要检查路径是否正确,密码是否正确,以及是否确实导入了对方的证书。 另外,示例代码可能需要处理异常,比如SSLHandshakeException,这时候需要查看异常信息,确定是证书的问题还是其他问题。调试的时候可以启用SSL调试参数,比如-Djavax.net.debug=all,这样可以更详细地查看握手过程。 用户可能还需要了解双向认证的应用场景,比如内部系统之间的安全通信,或者对安全性要求较高的API接口。同时,可能需要注意证书的有效期,定期更新证书,以及密钥库的安全存储问题。 总结一下,实现步骤大概是:生成服务器和客户端的密钥对和证书;配置双方的信任库和密钥库;编写服务器端和客户端代码,设置SSLContext,并启用客户端认证。然后测试连接,确保握手成功。过程中要注意证书的生成和导入是否正确,路径和密码的设置,以及可能的异常处理。</think>Java实现TLS双向认证需要以下核心步骤和代码实现(示例基于Java 11+): 一、证书准备(需提前生成) ```bash # 生成服务端密钥库 keytool -genkeypair -alias server -keyalg RSA -keysize 2048 \ -validity 365 -storetype PKCS12 -keystore server.p12 \ -dname "CN=server" -storepass 123456 # 生成客户端密钥库 keytool -genkeypair -alias client -keyalg RSA -keysize 2048 \ -validity 365 -storetype PKCS12 -keystore client.p12 \ -dname "CN=client" -storepass 123456 # 导出证书并互相导入信任库 keytool -exportcert -alias server -keystore server.p12 -file server.cer -storepass 123456 keytool -exportcert -alias client -keystore client.p12 -file client.cer -storepass 123456 keytool -importcert -alias client -file client.cer -keystore server_trust.p12 -storetype PKCS12 -storepass 123456 keytool -importcert -alias server -file server.cer -keystore client_trust.p12 -storetype PKCS12 -storepass 123456 ``` 二、服务端实现 ```java SSLServerSocketFactory factory = SSLContextBuilder .create() .setKeyStore(KeyStore.getInstance("PKCS12"), "123456", "server.p12") .setTrustStore(KeyStore.getInstance("PKCS12"), "123456", "server_trust.p12") .build() .getServerSocketFactory(); try (SSLServerSocket serverSocket = (SSLServerSocket) factory.createServerSocket(8443)) { serverSocket.setNeedClientAuth(true); // 关键设置:要求客户端认证 System.out.println("服务端已启动..."); while (true) { try (SSLSocket socket = (SSLSocket) serverSocket.accept()) { // 处理通信逻辑 } } } ``` 三、客户端实现 ```java SSLSocketFactory factory = SSLContextBuilder .create() .setKeyStore(KeyStore.getInstance("PKCS12"), "123456", "client.p12") .setTrustStore(KeyStore.getInstance("PKCS12"), "123456", "client_trust.p12") .build() .getSocketFactory(); try (SSLSocket socket = (SSLSocket) factory.createSocket("localhost", 8443)) { socket.startHandshake(); // 显式触发握手 System.out.println("成功建立双向认证连接"); // 处理通信逻辑 } ``` 四、关键配置说明 1. 双向认证核心设置: - 服务端:`serverSocket.setNeedClientAuth(true)` - 客户端:必须提供有效客户端证书 2. 证书验证流程: $$ 客户端验证 \rightarrow 服务端证书有效性 $$ $$ 服务端验证 \rightarrow 客户端证书有效性 $$ 五、常见问题排查 1. 证书链验证失败: - 检查信任库是否包含对方根证书 - 验证证书有效期:`keytool -list -v -keystore xxx.p12` 2. 调试模式启动: ```java System.setProperty("javax.net.debug", "ssl:handshake"); ``` 3. 协议版本控制: ```java socket.setEnabledProtocols(new String[]{"TLSv1.3"}); ``` 该实现适用于以下场景: - 金融交易系统 - 物联网设备安全通信 - 微服务间敏感数据传输 - 企业级API网关验证 建议配合使用: 1. 证书自动轮换机制 2. CRL/OCSP证书吊销检查 3. 密钥库硬件加密(HSM)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值