温馨提示×

登 录 注册有礼
云服务器 香港服务器 高防服务器
最新更新 网站标签 地图导航
产品

OpenSSL如何实现SSL/TLS握手

小樊
170
2025-03-22 18:11:17
栏目: 云计算

OpenSSL是一个强大的加密库,它实现了SSL(Secure Sockets Layer)和TLS(Transport Layer Security)协议。SSL/TLS握手是客户端和服务器之间建立安全连接的过程。以下是OpenSSL实现SSL/TLS握手的基本步骤:

1. 客户端Hello

  • 客户端发起连接:客户端通过TCP连接到服务器。
  • 发送ClientHello消息:客户端发送一个ClientHello消息,包含以下信息:
    • 支持的SSL/TLS版本
    • 支持的密码套件列表
    • 随机数(ClientRandom)
    • 可选的会话ID(用于会话恢复)
    • 可选的扩展列表

2. 服务器Hello

  • 接收ClientHello:服务器接收ClientHello消息。
  • 发送ServerHello消息:服务器选择一个双方都支持的SSL/TLS版本和密码套件,并发送ServerHello消息,包含以下信息:
    • 选择的SSL/TLS版本
    • 选择的密码套件
    • 随机数(ServerRandom)
    • 可选的会话ID(如果客户端提供了会话ID并且服务器支持会话恢复)
    • 可选的扩展列表

3. 证书交换

  • 服务器发送证书:服务器发送其数字证书给客户端,证书包含服务器的公钥。
  • 客户端验证证书:客户端验证服务器证书的有效性,包括检查证书链、证书签名和证书有效期等。

4. 密钥交换

  • 生成预主密钥(Pre-Master Secret):客户端生成一个预主密钥,并使用服务器的公钥加密后发送给服务器。
  • 解密预主密钥:服务器使用其私钥解密预主密钥。
  • 生成主密钥(Master Secret):客户端和服务器使用预主密钥、ClientRandom和ServerRandom生成主密钥。

5. 完成握手

  • 发送Finished消息:客户端和服务器分别发送Finished消息,包含之前所有握手消息的摘要,以验证握手的完整性。
  • 验证Finished消息:接收方验证Finished消息的摘要,确保握手过程中没有发生篡改。

6. 加密通信

  • 开始加密通信:握手完成后,客户端和服务器开始使用主密钥进行加密通信。

示例代码

以下是一个简单的OpenSSL示例,展示如何使用OpenSSL库实现一个基本的SSL/TLS客户端和服务器:

服务器端代码(server.c)

#include <openssl/ssl.h>
#include <openssl/err.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <arpa/inet.h>

void init_openssl() {
    SSL_load_error_strings();
    OpenSSL_add_ssl_algorithms();
}

void cleanup_openssl() {
    EVP_cleanup();
}

int create_socket(int port) {
    int s;
    struct sockaddr_in addr;

    addr.sin_family = AF_INET;
    addr.sin_port = htons(port);
    addr.sin_addr.s_addr = htonl(INADDR_ANY);

    s = socket(AF_INET, SOCK_STREAM, 0);
    if (s < 0) {
        perror("Unable to create socket");
        exit(EXIT_FAILURE);
    }

    if (bind(s, (struct sockaddr*)&addr, sizeof(addr)) < 0) {
        perror("Unable to bind");
        exit(EXIT_FAILURE);
    }

    if (listen(s, 1) < 0) {
        perror("Unable to listen");
        exit(EXIT_FAILURE);
    }

    return s;
}

int main(int argc, char *argv[]) {
    int sock;
    SSL_CTX *ctx;
    SSL *ssl;
    int client;

    init_openssl();

    ctx = SSL_CTX_new(TLS_server_method());
    if (!ctx) {
        perror("Unable to create SSL context");
        ERR_print_errors_fp(stderr);
        exit(EXIT_FAILURE);
    }

    if (SSL_CTX_use_certificate_file(ctx, "server.crt", SSL_FILETYPE_PEM) <= 0) {
        ERR_print_errors_fp(stderr);
        exit(EXIT_FAILURE);
    }

    if (SSL_CTX_use_PrivateKey_file(ctx, "server.key", SSL_FILETYPE_PEM) <= 0 ) {
        ERR_print_errors_fp(stderr);
        exit(EXIT_FAILURE);
    }

    sock = create_socket(4433);

    while (1) {
        client = accept(sock, NULL, NULL);
        if (client < 0) {
            perror("Unable to accept");
            continue;
        }

        ssl = SSL_new(ctx);
        SSL_set_fd(ssl, client);

        if (SSL_accept(ssl) <= 0) {
            ERR_print_errors_fp(stderr);
        } else {
            char reply[] = "Hello, SSL!";
            SSL_write(ssl, reply, strlen(reply));
        }

        SSL_shutdown(ssl);
        SSL_free(ssl);
        close(client);
    }

    close(sock);
    SSL_CTX_free(ctx);
    cleanup_openssl();

    return 0;
}

客户端代码(client.c)

#include <openssl/ssl.h>
#include <openssl/err.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <arpa/inet.h>

void init_openssl() {
    SSL_load_error_strings();
    OpenSSL_add_ssl_algorithms();
}

void cleanup_openssl() {
    EVP_cleanup();
}

int create_socket(const char *host, int port) {
    int s;
    struct sockaddr_in addr;

    addr.sin_family = AF_INET;
    addr.sin_port = htons(port);
    addr.sin_addr.s_addr = inet_addr(host);

    s = socket(AF_INET, SOCK_STREAM, 0);
    if (s < 0) {
        perror("Unable to create socket");
        exit(EXIT_FAILURE);
    }

    if (connect(s, (struct sockaddr*)&addr, sizeof(addr)) < 0) {
        perror("Unable to connect");
        exit(EXIT_FAILURE);
    }

    return s;
}

int main(int argc, char *argv[]) {
    int sock;
    SSL_CTX *ctx;
    SSL *ssl;
    char buf[1024];
    int bytes;

    init_openssl();

    ctx = SSL_CTX_new(TLS_client_method());
    if (!ctx) {
        perror("Unable to create SSL context");
        ERR_print_errors_fp(stderr);
        exit(EXIT_FAILURE);
    }

    ssl = SSL_new(ctx);
    SSL_set_fd(ssl, sock);

    if (SSL_connect(ssl) == -1) {
        ERR_print_errors_fp(stderr);
    } else {
        bytes = SSL_read(ssl, buf, sizeof(buf));
        buf[bytes] = 0;
        printf("Received: %s\n", buf);
    }

    SSL_shutdown(ssl);
    SSL_free(ssl);
    close(sock);
    SSL_CTX_free(ctx);
    cleanup_openssl();

    return 0;
}

编译和运行

gcc -o server server.c -lssl -lcrypto
gcc -o client client.c -lssl -lcrypto

./server &
./client

这个示例展示了如何使用OpenSSL库实现一个基本的SSL/TLS客户端和服务器。实际应用中可能需要处理更多的细节,如错误处理、会话恢复、证书链验证等。

0

最新问答

相关问答

相关标签

windows engine Windows7 win2012服务器 linux服务器 nginx win7 spring ping spring框架 input值 ping域名 win0 InnoD win2012 云服务器win2012 win服务器 win2008 win8.1 spring mvc
产品服务
地区划分
专题活动
帮助支持
关于我们
售后咨询
7*24小时在线电话:400-100-2938
7*24小时在线 QQ:800811969
关注亿速云

亿速云公众号

手机网站二维码

Copyright © Yisu Cloud Ltd. All Rights Reserved. 2018 版权所有

广州亿速云计算有限公司粤ICP备17096448号-1 粤公网安备 44010402001142号增值电信业务经营许可证编号:B1-20181529