对于openssl应用编程这方面的详细文档很少,我是通过认真分析openssl源码包中的示例代码来学习并结合man文档来理解它的基本结构的。SSL通讯模型为标准的C/S结构,除了在TCP层之上进行传输之外,与一般的通讯没有什么明显的区别。下面我对用SSL建立安全的TCP连接的流程作一简单分析。
一、数字证书准备
通常情况下我们的服务端需要
服务器端的私钥server.key文件
服务器端证书server.crt文件
对于双向认证连接,要用到
客户端的私钥client.key文件
客户器端证书client.crt文件
对于单向认证连接,不需要用到户端证书文件
二、 程序结构
与ssl有关的头文件都放在openssl目录下,通常需要用到这些:
#include /* SSLeay stuff */与RSA算法有关的一些定义
#include /*加密库接口*/
#include /*证书文件相关*/
#include
#include
#include
1、对OPENSSL的一些必要的初始化
SSL_load_error_strings(); /*进行错误信息的初始化,不是必须的, 如果要使用OpenSSL的出错信息打印,就要调用它*/
SSLeay_add_ssl_algorithms(); /*加载SSL算法库*/
/*还可使用以下两种方法加载SSL算法库
SSL_library_init(void);
OpenSSL_add_ssl_algorithms();
*/
创建SSL上下方环境
meth = SSLv23_server_method();
/*客户端模式有:
SSL_METHOD* TLSv1_client_method(void);TLSv1.0协议
SSL_METHOD* SSLv2_client_method(void);SSLv2协议
SSL_METHOD* SSLv3_client_method(void);SSLv3协议
SSL_METHOD* SSLv23_client_method(void);SSLv2/v3协议
服务端模式有:
SSL_METHOD* TLSv1_server_method(void);
SSL_METHOD* SSLv2_server_method(void);
SSL_METHOD* SSLv3_server_method(void);
SSL_METHOD* SSLv23_server_method(void);
*/
ctx = SSL_CTX_new (meth); /*在应用中,客户端和服务端必须为相同模式*/
ctx为返回的为当前SSL会话环境的指针,我们根据自己的需要对它进行设置:
void SSL_CTX_set_verify(SSL_CTX*, int, int* (int, X509_STORE_CTX*));
设置证书验证的方式。第一个参数是当前的CTX指针,第二个是验证方式,如果是要验证对方的话,就使用SSL_VERIFY_PEER。不需要的话,使用 SSL_VERIFY_NONE.一般情况下,客户端需要验证对方,而服务器不需要。第三个参数是处理验证的回调函数,如果没有特殊的需要,使用空指针就可以了。
void SSL_CTX_load_verify_locations(SSL_CTX*, const char*, const char*);
加载证书,第一个参数同上,参数二是证书文件的名称,参数三是证书文件的路径;
int SSL_CTX_use_certificate_file(SSL_CTX* ctx, const char* file,int type);
加载本地的证书;type指明证书文件的结构类型;失败返回-1
SSL_CTX_set_default_passwd_cb_userdata(ctx, "123456");
设置SSL要加载的证书的口令,如果不设置的话加载证书时会出提示符要求输入口令的,这样在程序中使用就比较麻烦,该函数就是预先将口令保存,在读证书时自动使用。
int SSL_CTX_use_PrivateKey_file(SSL_CTX* ctx,const char* file,int type);
加载自己的私钥;type参数指明私钥文件的结构类型;失败返回-1。加载了证书和文件之后,就可以验证私钥和证书是否相符:
int SSL_CTX_check_private_key(SSL_CTX*);
示例:
if (SSL_CTX_use_certificate_file(ctx, server.crt, SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(3);
}
SSL_CTX_set_default_passwd_cb_userdata(ctx, "123456789");
if (SSL_CTX_use_PrivateKey_file(ctx, server.key, SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(4);
}
if (!SSL_CTX_check_private_key(ctx)) {
fprintf(stderr,"Private key does not match the certificate public key/n");
exit(5);
}
2、关联tcp套接字
SSL接连是依赖于socket套接字的,所以安全连接必须关联相应套接字。SSL通信过程是在tcp连接建立之后进行的,所以套接字的建立过程跟普通的socket编程没有什么不同的,这里不在赘述。
ssl = SSL_new (ctx); //申请SSL套接字
SSL_set_fd (ssl, sd); //绑定读写套接字
以上调用将连接成功的TCP套接字与SSL关联。
3、开始安全通信
对于服务端调用
err = SSL_accept (ssl);
监听客户请求,对于客户端调用
err = SSL_connect (ssl);
发起连接。成功之后,双方就可以通过调用
int SSL_read(SSL* ssl, char* buf, int num);
int SSL_write(SSL* ssl, char* buf, int num);
进行安全通信了。
此时双方可通过调用X509* SSL_get_peer_certificate(SSL* ssl)来获取对方的证书信息
示例:
client_cert = SSL_get_peer_certificate (ssl);
if (client_cert != NULL) {
printf ("Client certificate:/n");
str = X509_NAME_oneline (X509_get_subject_name (client_cert), 0, 0);
CHK_NULL(str);
printf ("/t subject: %s/n", str);
OPENSSL_free (str);
str = X509_NAME_oneline (X509_get_issuer_name (client_cert), 0, 0);
CHK_NULL(str);
printf ("/t issuer: %s/n", str);
OPENSSL_free (str);
/* We could do all sorts of certificate verification stuff here before
deallocating the certificate. */
X509_free (client_cert);
} else
printf ("Client does not have certificate./n");
4、通讯结束,需要释放前面申请的SSL资源
int SSL_shutdown(SSL* ssl);关闭SSL套接字;
void SSL_free(ssl);释放SSL套接字;
void SSL_CTX_free(ctx);释放SSL环境;