69,369
社区成员
发帖
与我相关
我的任务
分享Linux C下使用openssl实现SSL双向认证服务端代码实现
我用Openssl实现SSL连接,但是根据报文内容的不同会需要有的条件(A)单向认证,有的条件(B)双向认证。我就面临了一个问题,如果是双向认证的情况,首先我要获取报文才能判断是否需要双向认证,但是报文又必须在SSL连接建立后才会得到,也就是双向认证通过以后。由于对SSL双向认证的理解还不是很深刻,大神帮我给个服务端的双向认证模型,是不是先单向认证建立连接,再获取客户端证书验证。
我的服务端模型:
// 初始化CTX
SSL_library_init();
OpenSSL_add_all_algorithms()
SSL_load_error_strings();
SSL_CTX_new( TLSv1_server_method());
// 请求获取客户端证书
SSL_CTX_set_verify( ctx, SSL_VERIFY_PEER, NULL);
// 加载服务端证书
SSL_CTX_use_certificate_file( ctx, CERTFL, SSL_FILETYPE_PEM);
SSL_CTX_use_PrivateKey_file( ctx, PRIKEY, SSL_FILETYPE_PEM);
SSL_CTX_check_private_key( ctx);
//建立socket连接
accept();
// 加入SSL连接
SSL_new();
SSL_set_fd();
SSL_accept();
到这里就面临问题了,SSL_accept()已经是在SSL握手了,但是这里是双向认证还是单向认证呢?还是说认证需要后续单独完成?握手的时候不就要交换证书协商通讯密钥了么?理解不深刻,请指正。
我的服务端模型:
// 初始化CTX
SSL_library_init();
OpenSSL_add_all_algorithms()
SSL_load_error_strings();
SSL_CTX_new( TLSv1_server_method());
// 请求获取客户端证书
SSL_CTX_set_verify( ctx, SSL_VERIFY_PEER, NULL);
// 加载服务端证书
SSL_CTX_use_certificate_file( ctx, CERTFL, SSL_FILETYPE_PEM);
SSL_CTX_use_PrivateKey_file( ctx, PRIKEY, SSL_FILETYPE_PEM);
SSL_CTX_check_private_key( ctx);
//建立socket连接
accept();
// 加入SSL连接
SSL_new();
SSL_set_fd();
SSL_accept();
到这里就面临问题了,SSL_accept()已经是在SSL握手了,但是这里是双向认证还是单向认证呢?还是说认证需要后续单独完成?握手的时候不就要交换证书协商通讯密钥了么?理解不深刻,请指正。
...全文
请发表友善的回复…
发表回复
qq_40156544 2019-11-12
- 打赏
- 举报
在握手之前需要使用SSL_CTX_set_verify(SSL_CTX* ctx,int mode,int (*verify_callback)(int,X509_STORE_CTX*));
接口来配置对应ssl类是否认证对方证书。
接口来配置对应ssl类是否认证对方证书。
wang594606821 2016-09-20
- 打赏
- 举报
问下 你这个问题解决了吗, 我这边遇到个类似的问题; 方便的话,还想请教下;
zhuzhisen 2016-04-22
- 打赏
- 举报
// 初始化CTX
SSL_library_init();
OpenSSL_add_all_algorithms();
SSL_load_error_strings();
SSL_CTX_new( TLSv1_client_method());
// 请求获取服务端证书
SSL_CTX_set_verify( ctx, SSL_VERIFY_PEER, verify_cb)
//加载客户端证书
SSL_CTX_load_verify_locations();
SSL_CTX_set_default_passwd_cb_userdata();
SSL_CTX_use_certificate_file()
SSL_CTX_use_PrivateKey_file();
SSL_CTX_check_private_key();
//创建socket,略
connect()
// 加入SSL
SSL_new();
SSL_set_fd();
SSL_connect();
这个是我的双向认证客户端模型,连接别人的服务端没有问题,但是连我自己的服务端就是连不上,SSL_connect()失败。
zhuzhisen 2016-04-22
- 打赏
- 举报
别人是java写的服务端,客户端证书是别人提供的,连接没有问题。
pengzhixi 2016-04-18
- 打赏
- 举报
你这种是单向认证的情况,调用SSL_accept()就自动完成了,我的问题就是双向认证该怎么实现,如何从代码里面体现出来?
[/quote]SSL_CTX_set_verify你这里不是要求了要进行客户端验证的么
[/quote]SSL_CTX_set_verify你这里不是要求了要进行客户端验证的么
LubinLew 2016-04-18
- 打赏
- 举报
建立socket连接之前 设置要求验证对端参数,只要是下面几个函数
SSL_CTX_set_verify,
SSL_set_verify,
SSL_CTX_set_verify_depth,
SSL_set_verify_depth
zhuzhisen 2016-04-18
- 打赏
- 举报
你这种是单向认证的情况,调用SSL_accept()就自动完成了,我的问题就是双向认证该怎么实现,如何从代码里面体现出来?
pengzhixi 2016-04-18
- 打赏
- 举报
一般是单向认证即客户端验证服务端证书,握手的时候服务端需要发送证书给客户端,以及公钥,选择的加密套件等
