OpenSSL 简单思路和函数笔记

头像
amc
    阅读 2 分钟
    6

    一直以来都是普通的socket read/write,现在终于有基于SSL通道的项目了。所以简单记录了一下OpenSSL的调用流程,便于快速入门。
    本文地址:https://segmentfault.com/a/11...

    Reference

    OpenSSL流程和函数介绍

    初始化

    int SSL_Library_init (void);

    选择会话协议和创建会话环境

    目前支持的会话协议包括:TLSv1.0, SSLv2, SSLv3, SSLv2/v3
    OpenSSL中一个会话的环境称为“CTX”,申请CTX的函数是:

    SSL_CTX *SSL_CTX_new (SSL_METHOD *method);

    其中method就是会话协议,比如SSLv2/v3的client,则传入函数调用的返回值:

    const SSL_METHOD *SSLv23_client_method (void);

    接下来是设置CTX的属性,比如制定证书验证方式:

    int SSL_CTX_set_verify (SSL_CTX *ctx, 
                        int mode, 
                        int (*verify_callback), 
                        int (X509_STROE_CTX *));

    加载CA证书:

    SSL_CTX_load_varify_location (SSL_CTX *ctx, const char *Cafile, const char *Capath);

    加载用户私钥:

    SSL_CTX_use_Private_file (SSL_CTX *ctx, const char *file, int type);

    加载用户证书:

    SSL_CTX_use_certificate_file (SSL_CTX *ctx, const char *file, int type);

    验证私钥和证书是否相等

    int SSL_CTX_check_private_key (SSL_CTX *ctx);

    建立SSL套接字

    SSL *SSL_new (SSL_CTX *ctx);

    使用socket绑定SSL套接字:

    int SSL_set_fd (SSL *ssl, int fd);
int SSL_set_rfd (SSL *ssl, int fd);    // 只读
int SSL_set_wfd (SSL *ssl, int fd);    // 只写

    注意:上述三个函数成功时返回TRUE,失败时返回FALSE

    完成SSL握手

    int SSL_connect (SSL *ssl);        // 用于client
int SSL_accept  (SSL *ssl);        // 用于client

    从SSL套接字中提取对方的证书信息

    X509 *SSL_get_peer_certificate (SSL *ssl);

    获取证书所有者的名字:

    X509_NAME *X509_get_subject_name (X509 *a);

    数据传输

    int SSL_read  (SSL *ssl, void *buf, int num);
int SSL_write (SSL *ssl, const void *buf, int num);

    结束SSL通信

    关闭SSL套接字

    int SSL_shitdown (SSL *ssl);

    释放SSL套接字

    void SSL_free (SSL *ssl);

    释放SSL会话

    void SSL_CTX_free (SSL_CTX *ctx);

    OpenSSL应用编程框架

    下面大致的伪代码说明了调用SSL的一整个流程

    Client端

    ctx = SSL_CTX_new (SSLv23_client_method());
ssl = SSL_new (ctx);
fd = socket ();
connect ();
SSL_set_fd (ssl, fd);
SSL_connect (ssl);
SSL_write ();

    Server端

    ctx = SSL_CTX_new (SSLv23_server_method());
ssl = SSL_new (ctx);
fd = socket ();
bind ();
listen ();
accept ();
SSL_set_fd (ssl, fd);
SSL_accept (ssl);
SSL_read ();

    注意

    • OpenSSL库中,各个函数的返回值的格式并不统一(有些用0表示失败,有些用0表示成功),请注意区分
    • 用在OpenSSL的fd不能设置为nonblock,否则在SSL_connect时会失败——感觉这一点限制了OpenSSL与除了libevent之外其他异步I/O库的适配
    • 关于nonblock的问题,感谢@程序猿小何的补充:可以在完成了SSL_connect/accept之后,将fd设置为nonblock

    姊妹篇

    mbedTLS(PolarSSL)简单思路和函数笔记

    linuxcsslopenssl
    amc
    924 声望223 粉丝

    电子和互联网深耕多年,拥有丰富的嵌入式和服务器开发经验。现负责腾讯心悦俱乐部后台开发

    « 上一篇
    fork 和 vfork 使用的注意事项和 system() 函数的替代
    下一篇 »
    mbedTLS(PolarSSL)简单思路和函数笔记(Client端)

    引用和评论

    2 篇内容引用
    推荐阅读
    头像
    SQL 稍复杂一点语法的学习笔记

    amc阅读 172

    头像
    一份简单i3wm配置

    notusednow2阅读 27.8k

    头像
    记录一次Linux下安装Oracle数据库的过程

    少放香菜1阅读 3.5k

    头像
    在 ubuntu24.04 上使用英伟达显卡——安装驱动和cuda

    universe_king1阅读 3.9k

    头像
    linux下使用笔记本的相关设置

    notusednow阅读 7.7k

    头像
    张晋涛:KubeCon China 2024 回顾

    张晋涛2阅读 624评论 1

    头像
    精简实用!一分钟搭建文件管理服务!

    Java陈序员1阅读 633

    0 条评论
    得票最新