本文為了友善進行SSL程式設計參考而整理,SSL程式設計調用的大多數流程就如如下樣本代碼,通過本樣本代碼可以比較快的測試SSL相關API。
/*****************************************************************
*SSL/TLS用戶端程式WIN32版(以demos/cli.cpp為基礎)
*需要用到動态連接配接庫libeay32.dll,ssleay.dll,
*同時在setting中加入ws2_32.lib libeay32.lib ssleay32.lib,
*以上庫檔案在編譯openssl後可在out32dll目錄下找到,
*所需證書檔案請參照文章自行生成*/
*****************************************************************/
#include <stdio.h>
#include <stdlib.h>
#include <memory.h>
#include <errno.h>
#include <sys/types.h>
#include <winsock2.h>
#include "openssl/rsa.h"
#include "openssl/crypto.h"
#include "openssl/x509.h"
#include "openssl/pem.h"
#include "openssl/ssl.h"
#include "openssl/err.h"
#include "openssl/rand.h"
/*所有需要的參數資訊都在此處以#define的形式提供*/
#define CERTF "client.crt" /*用戶端的證書(需經CA簽名)*/
#define KEYF "client.key" /*用戶端的私鑰(建議加密存儲)*/
#define CACERT "ca.crt" /*CA 的證書*/
#define PORT 1111 /*服務端的端口*/
#define SERVER_ADDR "127.0.0.1" /*服務端的IP位址*/
#define CHK_NULL(x) if ((x)==NULL) exit (-1)
#define CHK_ERR(err,s) if ((err)==-1) { perror(s); exit(-2); }
#define CHK_SSL(err) if ((err)==-1) { ERR_print_errors_fp(stderr); exit(-3); }
int main ()
{
int err;
int sd;
struct sockaddr_in sa;
SSL_CTX* ctx;
SSL* ssl;
X509* server_cert;
char* str;
char buf [4096];
SSL_METHOD *meth;
int seed_int[100]; /*存放随機序列*/
WSADATA wsaData;
if(WSAStartup(MAKEWORD(2,2),&wsaData) != 0)
{
printf("WSAStartup()fail:%d/n",GetLastError());
return -1;
}
/*初始化*/
OpenSSL_add_ssl_algorithms();
/*為列印調試資訊作準備*/
SSL_load_error_strings();
/*采用什麼協定(SSLv2/SSLv3/TLSv1)在此指定*/
meth = TLSv1_client_method();
/*申請SSL會話環境*/
ctx = SSL_CTX_new (meth);
CHK_NULL(ctx);
/*驗證與否,是否要驗證對方*/
SSL_CTX_set_verify(ctx,SSL_VERIFY_PEER,NULL);
/*若驗證對方,則放置CA憑證*/
SSL_CTX_load_verify_locations(ctx,CACERT,NULL);
/*加載自己的證書*/
if (SSL_CTX_use_certificate_file(ctx, CERTF, SSL_FILETYPE_PEM) <= 0)
{
ERR_print_errors_fp(stderr);
exit(-2);
}
/*加載自己的私鑰,以用于簽名*/
if (SSL_CTX_use_PrivateKey_file(ctx, KEYF, SSL_FILETYPE_PEM) <= 0)
{
ERR_print_errors_fp(stderr);
exit(-3);
}
/*調用了以上兩個函數後,檢驗一下自己的證書與私鑰是否配對*/
if (!SSL_CTX_check_private_key(ctx))
{
printf("Private key does not match the certificate public key/n");
exit(-4);
}
/*建構随機數生成機制,WIN32平台必需*/
srand( (unsigned)time( NULL ) );
for( int i = 0; i < 100;i++ )
seed_int = rand();
RAND_seed(seed_int, sizeof(seed_int));
/*以下是正常的TCP socket建立過程 .............................. */
printf("Begin tcp socket.../n");
sd = socket (AF_INET, SOCK_STREAM, 0);
CHK_ERR(sd, "socket");
memset (&sa, '/0', sizeof(sa));
sa.sin_family = AF_INET;
sa.sin_addr.s_addr = inet_addr (SERVER_ADDR); /* Server IP */
sa.sin_port = htons (PORT); /* Server Port number */
err = connect(sd, (struct sockaddr*) &sa, sizeof(sa));
CHK_ERR(err, "connect");
/* TCP 連結已建立.開始 SSL 握手過程.......................... */
printf("Begin SSL negotiation /n");
/*申請一個SSL套接字*/
ssl = SSL_new (ctx);
CHK_NULL(ssl);
/*綁定讀寫套接字*/
SSL_set_fd (ssl, sd);
err = SSL_connect (ssl);
CHK_SSL(err);
/*列印所有加密算法的資訊(可選)*/
printf ("SSL connection using %s/n", SSL_get_cipher (ssl));
/*得到服務端的證書并列印些資訊(可選) */
server_cert = SSL_get_peer_certificate (ssl);
CHK_NULL(server_cert);
printf ("Server certificate:/n");
str = X509_NAME_oneline (X509_get_subject_name (server_cert),0,0);
CHK_NULL(str);
printf ("/t subject: %s/n", str);
Free (str);
str = X509_NAME_oneline (X509_get_issuer_name (server_cert),0,0);
CHK_NULL(str);
printf ("/t issuer: %s/n", str);
Free (str);
X509_free (server_cert); /*如不再需要,需将證書釋放 */
/* 資料交換開始,用SSL_write,SSL_read代替write,read */
printf("Begin SSL data exchange/n");
err = SSL_write (ssl, "Hello World!", strlen("Hello World!"));
CHK_SSL(err);
err = SSL_read (ssl, buf, sizeof(buf) - 1);
CHK_SSL(err);
buf[err] = '/0';
printf ("Got %d chars:'%s'/n", err, buf);
SSL_shutdown (ssl); /* send SSL/TLS close_notify */
/* 收尾工作 */
shutdown (sd,2);
SSL_free (ssl);
SSL_CTX_free (ctx);
return 0;
}
/*****************************************************************
* EOF - cli.cpp
*****************************************************************/
/*****************************************************************
*SSL/TLS服務端程式WIN32版(以demos/server.cpp為基礎)
*需要用到動态連接配接庫libeay32.dll,ssleay.dll,
*同時在setting中加入ws2_32.lib libeay32.lib ssleay32.lib,
*以上庫檔案在編譯openssl後可在out32dll目錄下找到,
*所需證書檔案請參照文章自行生成.
*****************************************************************/
#include <stdio.h>
#include <stdlib.h>
#include <memory.h>
#include <errno.h>
#include <sys/types.h>
#include <winsock2.h>
#include "openssl/rsa.h"
#include "openssl/crypto.h"
#include "openssl/x509.h"
#include "openssl/pem.h"
#include "openssl/ssl.h"
#include "openssl/err.h"
/*所有需要的參數資訊都在此處以#define的形式提供*/
#define CERTF "server.crt" /*服務端的證書(需經CA簽名)*/
#define KEYF "server.key" /*服務端的私鑰(建議加密存儲)*/
#define CACERT "ca.crt" /*CA 的證書*/
#define PORT 1111 /*準備綁定的端口*/
#define CHK_NULL(x) if ((x)==NULL) exit (1)
#define CHK_ERR(err,s) if ((err)==-1) { perror(s); exit(1); }
#define CHK_SSL(err) if ((err)==-1) { ERR_print_errors_fp(stderr); exit(2); }
int main ()
{
int err;
int listen_sd;
int sd;
struct sockaddr_in sa_serv;
struct sockaddr_in sa_cli;
int client_len;
SSL_CTX* ctx;
SSL* ssl;
X509* client_cert;
char* str;
char buf [4096];
SSL_METHOD *meth;
WSADATA wsaData;
if(WSAStartup(MAKEWORD(2,2),&wsaData) != 0){
printf("WSAStartup()fail:%d/n",GetLastError());
return -1;
}
SSL_load_error_strings(); /*為列印調試資訊作準備*/
OpenSSL_add_ssl_algorithms(); /*初始化*/
meth = TLSv1_server_method(); /*采用什麼協定(SSLv2/SSLv3/TLSv1)在此指定*/
ctx = SSL_CTX_new (meth);
CHK_NULL(ctx);
SSL_CTX_set_verify(ctx,SSL_VERIFY_PEER,NULL); /*驗證與否*/
SSL_CTX_load_verify_locations(ctx,CACERT,NULL); /*若驗證,則放置CA憑證*/
if (SSL_CTX_use_certificate_file(ctx, CERTF, SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(3);
}
if (SSL_CTX_use_PrivateKey_file(ctx, KEYF, SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(4);
}
if (!SSL_CTX_check_private_key(ctx)) {
printf("Private key does not match the certificate public key/n");
exit(5);
}
SSL_CTX_set_cipher_list(ctx,"RC4-MD5");
/*開始正常的TCP socket過程.................................*/
printf("Begin TCP socket.../n");
listen_sd = socket (AF_INET, SOCK_STREAM, 0);
CHK_ERR(listen_sd, "socket");
memset (&sa_serv, '/0', sizeof(sa_serv));
sa_serv.sin_family = AF_INET;
sa_serv.sin_addr.s_addr = INADDR_ANY;
sa_serv.sin_port = htons (PORT);
err = bind(listen_sd, (struct sockaddr*) &sa_serv,
sizeof (sa_serv));
CHK_ERR(err, "bind");
/*接受TCP連結*/
err = listen (listen_sd, 5);
CHK_ERR(err, "listen");
client_len = sizeof(sa_cli);
sd = accept (listen_sd, (struct sockaddr*) &sa_cli, &client_len);
CHK_ERR(sd, "accept");
closesocket (listen_sd);
printf ("Connection from %lx, port %x/n",
sa_cli.sin_addr.s_addr, sa_cli.sin_port);
/*TCP連接配接已建立,進行服務端的SSL過程. */
printf("Begin server side SSL/n");
ssl = SSL_new (ctx);
CHK_NULL(ssl);
SSL_set_fd (ssl, sd);
err = SSL_accept (ssl);
printf("SSL_accept finished/n");
CHK_SSL(err);
/*列印所有加密算法的資訊(可選)*/
printf ("SSL connection using %s/n", SSL_get_cipher (ssl));
/*得到服務端的證書并列印些資訊(可選) */
client_cert = SSL_get_peer_certificate (ssl);
if (client_cert != NULL) {
printf ("Client certificate:/n");
str = X509_NAME_oneline (X509_get_subject_name (client_cert), 0, 0);
CHK_NULL(str);
printf ("/t subject: %s/n", str);
Free (str);
str = X509_NAME_oneline (X509_get_issuer_name (client_cert), 0, 0);
CHK_NULL(str);
printf ("/t issuer: %s/n", str);
Free (str);
X509_free (client_cert);/*如不再需要,需将證書釋放 */
}
else
printf ("Client does not have certificate./n");
/* 資料交換開始,用SSL_write,SSL_read代替write,read */
err = SSL_read (ssl, buf, sizeof(buf) - 1);
CHK_SSL(err);
buf[err] = '/0';
printf ("Got %d chars:'%s'/n", err, buf);
err = SSL_write (ssl, "I hear you.", strlen("I hear you."));
CHK_SSL(err);
/* 收尾工作*/
shutdown (sd,2);
SSL_free (ssl);
SSL_CTX_free (ctx);
return 0;
}
/*****************************************************************
* EOF - serv.cpp
*****************************************************************/
SSL API函數說明:
1.int SSL_CTX_set_cipher_list(SSL_CTX *,const char *str);
根據SSL/TLS規範,在ClientHello中,用戶端會送出一份自己能夠支援的加密方法的清單,由服務端選擇一種方法後在ServerHello中通知服務端, 進而完成加密算法的協商.
//可用的算法為:
EDH-RSA-DES-CBC3-SHA
EDH-DSS-DES-CBC3-SHA
DES-CBC3-SHA
DHE-DSS-RC4-SHA
IDEA-CBC-SHA
RC4-SHA
RC4-MD5
EXP1024-DHE-DSS-RC4-SHA
EXP1024-RC4-SHA
EXP1024-DHE-DSS-DES-CBC-SHA
EXP1024-DES-CBC-SHA
EXP1024-RC2-CBC-MD5
EXP1024-RC4-MD5
EDH-RSA-DES-CBC-SHA
EDH-DSS-DES-CBC-SHA
DES-CBC-SHA
EXP-EDH-RSA-DES-CBC-SHA
EXP-EDH-DSS-DES-CBC-SHA
EXP-DES-CBC-SHA
EXP-RC2-CBC-MD5
EXP-RC4-MD5
這些算法按一定優先級排列,如果不作任何指定,将選用DES-CBC3-SHA.用SSL_CTX_set_cipher_list可以指定自己希望用的算法(實際上隻是 提高其優先級,是否能使用還要看對方是否支援).
我們在程式中選用了RC4做加密,MD5做消息摘要(先進行MD5運算,後進行RC4加密).即
SSL_CTX_set_cipher_list(ctx,”RC4-MD5”);
在消息傳輸過程中采用對稱加密(比公鑰加密在速度上有極大的提高),其所用秘鑰(shared secret)在握手過程中中協商(每次對話過程均不同, 在一次對話中都有可能有幾次改變),并通過公鑰加密的手段由用戶端送出服務端.
2.void SSL_CTX_set_verify(SSL_CTX ctx,int mode,int (*callback)(int, X509_STORE_CTX ));
預設mode是SSL_VERIFY_NONE,如果想要驗證對方的話,便要将此項變成SSL_VERIFY_PEER.SSL/TLS中預設隻驗證server,如果沒有設定 SSL_VERIFY_PEER的話,用戶端連證書都不會發過來.
3.int SSL_CTX_load_verify_locations(SSL_CTX *ctx, const char *CAfile,const char *CApath);
要驗證對方的話,當然裝要有CA的證書了,此函數用來便是加載CA的證書檔案的.
4.int SSL_CTX_use_certificate_file(SSL_CTX *ctx, const char *file, int type);
加載自己的證書檔案.
5.int SSL_CTX_use_PrivateKey_file(SSL_CTX *ctx, const char *file, int type);
加載自己的私鑰,以用于簽名.
6.int SSL_CTX_check_private_key(SSL_CTX *ctx);
調用了以上兩個函數後,自己檢驗一下證書與私鑰是否配對.
7.void RAND_seed(const void *buf,int num);
在win32 的環境中client程式運作時出錯(SSL_connect傳回-1)的一個主要機制便是與UNIX平台下的随機數生成機制不同(握手的時候用的到). 具體描述可見mod_ssl的FAQ.解決辦法就是調用此函數,其中buf應該為一随機的字元串,作為”seed”.
還可以采用一下兩個函數:
void RAND_screen(void);
int RAND_event(UINT, WPARAM, LPARAM);
其中RAND_screen()以螢幕内容作為”seed”産生随機數,RAND_event可以捕獲windows中的事件(event),以此為基礎 産生随機數.如果一直有 使用者幹預的話,用這種辦法産生的随機數能夠”更加随機”,但如果機器一直沒人理(如總停在登入畫面),則每次都将産生同樣的數字.
這幾個函數都隻在WIN32環境下編譯時有用,各種UNIX下就不必調了.
大量其他的相關函數原型,見crypto/rand/rand.h.
8.OpenSSL_add_ssl_algorithms()或SSLeay_add_ssl_algorithms()
其實都是調用int SSL_library_init(void)
進行一些必要的初始化工作,用openssl編寫SSL/TLS程式的話第一句便應是它.
9.void SSL_load_error_strings(void );
如果想列印出一些友善閱讀的調試資訊的話,便要在一開始調用此函數.
10.void ERR_print_errors_fp(FILE *fp);
如果調用了SSL_load_error_strings()後,便可以随時用ERR_print_errors_fp()來列印錯誤資訊了.
11.X509 *SSL_get_peer_certificate(SSL *s);
握手完成後,便可以用此函數從SSL結構中提取出對方的證書(此時證書得到且已經驗證過了)整理成X509結構.
12.X509_NAME *X509_get_subject_name(X509 *a);
得到證書所有者的名字,參數可用通過SSL_get_peer_certificate()得到的X509對象.
13.X509_NAME *X509_get_issuer_name(X509 *a)
得到證書簽署者(往往是CA)的名字,參數可用通過SSL_get_peer_certificate()得到的X509對象.
14.char *X509_NAME_oneline(X509_NAME *a,char *buf,int size);
将以上兩個函數得到的對象變成字元型,以便列印出來.
15.SSL_METHOD的構造函數
包括:
SSL_METHOD TLSv1_server_method(void); / TLSv1.0 */
SSL_METHOD TLSv1_client_method(void); / TLSv1.0 */
SSL_METHOD SSLv2_server_method(void); / SSLv2 */
SSL_METHOD SSLv2_client_method(void); / SSLv2 */
SSL_METHOD SSLv3_server_method(void); / SSLv3 */
SSL_METHOD SSLv3_client_method(void); / SSLv3 */
SSL_METHOD SSLv23_server_method(void); / SSLv3 but can rollback to v2 */
SSL_METHOD SSLv23_client_method(void); / SSLv3 but can rollback to v2 */
在程式中究竟采用哪一種協定(TLSv1/SSLv2/SSLv3),就看調哪一組構造函數了.