出现的情况(问题):服务器不能够得到客户端的证书, 但是客户端能够得到服务器的证书。 客户端和服务器的证书和密钥是一样的(这个应该没有关系,没有对证书的内容做验证)。
客户端:
#include <stdio.h>
#include <stdlib.h>
#include <memory.h>
#include <winsock.h>
#include <windows.h>
#include <openssl/evp.h>
#include <openssl/x509.h>
#include <openssl/pem.h>
#include <openssl/ssl.h>
#include <openssl/err.h>
#define CHK_NULL(x) if ((x)==NULL) exit (1)
#define CHK_ERR(err,s) if ((err)==-1) { perror(s); exit(1); }
#define CHK_SSL(err) if ((err)==-1) { ERR_print_errors_fp(stderr); exit(2); }
void main ()
{
int err;
int sd; //socket 句柄
struct sockaddr_in sa; //sockaddr_in结构体
SSL_CTX* ctx; //SSL上下文句柄
SSL* ssl; //SSL结构体指针
X509* server_cert; //X509结构体,用户保存服务器端证书
char* str;
char buf [4096];
SSL_METHOD *meth; //SSL协议
WSADATA wsaData;
//初始化windows Socket环境
if (WSAStartup(MAKEWORD(1, 1), &wsaData))
{
return;
}
//初始化OpenSSL环境
SSL_load_error_strings();
SSLeay_add_ssl_algorithms();
//SSL协议版本,V2、V3自适应
meth = SSLv23_client_method();
ctx = SSL_CTX_new (meth);
CHK_NULL(ctx);
CHK_SSL(err);
//以常规的SOCKET编程的方式创建socket并链接到服务器端
sd = socket (AF_INET, SOCK_STREAM, 0);
CHK_ERR(sd, "socket");
memset (&sa, '\0', sizeof(sa));
sa.sin_family = AF_INET;
sa.sin_addr.s_addr = inet_addr ("127.0.0.1"); //服务端地址
sa.sin_port = htons (8443); //服务端口
//链接服务器
err = connect(sd, (struct sockaddr*) &sa,
sizeof(sa));
CHK_ERR(err, "connect");
//使用现有的TCP链接开启SSL协议
ssl = SSL_new (ctx);
CHK_NULL(ssl);
SSL_set_fd (ssl, sd);
//启动SSL链接
err = SSL_connect (ssl);
CHK_SSL(err);
//打印SSL链接的算法
printf ("SSL connection using %s\n", SSL_get_cipher (ssl));
//获得服务端证书
server_cert = SSL_get_peer_certificate (ssl); CHK_NULL(server_cert);
printf ("Server certificate:\n");
//获得服务器证书名称
str = X509_NAME_oneline (X509_get_subject_name (server_cert),0,0);
CHK_NULL(str);
printf ("\t subject: %s\n", str);
OPENSSL_free (str);
//获得服务器证书颁发者名称
str = X509_NAME_oneline (X509_get_issuer_name (server_cert),0,0);
CHK_NULL(str);
printf ("\t issuer: %s\n", str);
OPENSSL_free (str);
//释放X509结构体
X509_free (server_cert);
//发送消息到服务端
err = SSL_write (ssl, "Hello World!", strlen("Hello World!"));
CHK_SSL(err);
//读取服务端的消息
err = SSL_read (ssl, buf, sizeof(buf) - 1);
CHK_SSL(err);
buf[err] = '\0';
printf ("Got %d chars:'%s'\n", err, buf);
SSL_shutdown (ssl); //发送SSL关闭消息
//释放内存
closesocket (sd);
SSL_free (ssl);
SSL_CTX_free (ctx);
}
服务器:
#include <stdio.h>
#include <stdlib.h>
#include <memory.h>
#include <winsock.h>
#include <windows.h>
#include <openssl/evp.h>
#include <openssl/x509.h>
#include <openssl/pem.h>
#include <openssl/ssl.h>
#include <openssl/err.h>
#define CERTF "cert.cer" //服务端证书
#define KEYF "key.pem" //服务器端私钥
#define ROOTCERTF "root.cer" //根证书
#define CHK_NULL(x) if ((x)==NULL) exit (1)
#define CHK_ERR(err,s) if ((err)==-1) { perror(s); exit(1); }
#define CHK_SSL(err) if ((err)==-1) { ERR_print_errors_fp(stderr); exit(2); }
int main()
{
int err;
int listen_sd;//监听句柄
int sd;
struct sockaddr_in sa_serv;//sockaddr_in结构体,用于保存服务器端协议和端口信息
struct sockaddr_in sa_cli;
size_t client_len;
SSL_CTX* ctx; //SSL上下文句柄
SSL* ssl; //SSL结构体指针
X509* client_cert;//X509结构体,用户保存客户端证书
char* str;
char buf [4096];
SSL_METHOD *meth; //SSL协议
WSADATA wsaData;
//初始化windows Socket环境。
if (WSAStartup(MAKEWORD(1, 1), &wsaData))
{
exit(1);
}
//初始化OpenSSL环境
SSL_load_error_strings();
SSLeay_add_ssl_algorithms();
//SSL协议版本,V2、V3自适应
meth = SSLv23_server_method();
//新建SSL上下文句柄
ctx = SSL_CTX_new (meth);
if (!ctx) {
ERR_print_errors_fp(stderr);
exit(2);
}
//设置服务器证书
if (SSL_CTX_use_certificate_file(ctx, CERTF, SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(3);
}
//设置服务器私钥
if (SSL_CTX_use_PrivateKey_file(ctx, KEYF, SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(4);
}
//检查私钥和证书是否匹配
if (!SSL_CTX_check_private_key(ctx)) {
fprintf(stderr,"Private key does not match the certificate public key\n");
exit(5);
}
//新建Socket
listen_sd = socket (AF_INET, SOCK_STREAM, 0);
CHK_ERR(listen_sd, "socket");
//初始化sa_serv,设置为TCP协议,端口为8443
memset (&sa_serv, '\0', sizeof(sa_serv));
sa_serv.sin_family = AF_INET;
sa_serv.sin_addr.s_addr = INADDR_ANY;
sa_serv.sin_port = htons (8443);
//绑定端口
err = bind(listen_sd, (struct sockaddr*) &sa_serv,
sizeof (sa_serv));
CHK_ERR(err, "bind");
//开始接收TCP链接。
err = listen (listen_sd, 5);
CHK_ERR(err, "listen");
client_len = sizeof(sa_cli);
//接受客户端TCP链接
sd = accept (listen_sd, (struct sockaddr*) &sa_cli, &client_len);
CHK_ERR(sd, "accept");
closesocket (listen_sd);
//打印客户端信息
printf ("Connection from %lx, port %x\n",
sa_cli.sin_addr.s_addr, sa_cli.sin_port);
//新建SSL
ssl = SSL_new (ctx);
CHK_NULL(ssl);
//设置链接句柄到SSL结构体
SSL_set_fd (ssl, sd);
//接受SSL链接
err = SSL_accept (ssl);
CHK_SSL(err);
//获得SSL链接用到的算法
printf ("SSL connection using %s\n", SSL_get_cipher (ssl));
//获得客户端证书
client_cert = SSL_get_peer_certificate (ssl);
printf("client_cert = %d\n",client_cert);
if (client_cert != NULL)
{
printf ("Client certificate:\n");
str = X509_NAME_oneline (X509_get_subject_name (client_cert), 0, 0);
CHK_NULL(str);
printf ("\t subject: %s\n", str);
OPENSSL_free (str);
str = X509_NAME_oneline (X509_get_issuer_name (client_cert), 0, 0);
CHK_NULL(str);
printf ("\t issuer: %s\n", str);
OPENSSL_free (str);
X509_free (client_cert);
} else
printf ("Client does not have certificate.\n");
//读取客户端发送的消息
err = SSL_read (ssl, buf, sizeof(buf) - 1);
CHK_SSL(err);
buf[err] = '\0';
printf ("Got %d chars:'%s'\n", err, buf);
//发送消息到客户端
err = SSL_write (ssl, "I hear you.", strlen("I hear you.")); CHK_SSL(err);
//清除内存
closesocket (sd);
SSL_free (ssl);
SSL_CTX_free (ctx);
return 0;
}
问题已经描述,希望各位高手能够帮我解决。非常感谢。
8 个解决方案
#1
补充:为什么服务器不能够获得客户端的证书?
银行或者淘宝等网站 他们的ssl的原理是什么?怎么实现双向认证?客户端的证书在那里?服务器呢?
银行或者淘宝等网站 他们的ssl的原理是什么?怎么实现双向认证?客户端的证书在那里?服务器呢?
#2
兄弟,你没有在客户端程序中加载客户端证书和私钥啊,这样行吗?服务端程序向客户端要证书时,客户程序不知道用什么证书来回答服务器吧?
#3
该回复于2011-04-15 16:12:35被版主删除
#4
比如银行。客户证书在usb key中,客户程序就应该从usb key中取出证书并在服务器要求时给它
#5
你的客户端要配置证书,供服务器来验证
#6
该回复于2011-05-20 13:42:09被版主删除
#7
SSL认证的时候,是需要把客户端的公钥证书传给服务器的。
并且,这个证书是需要用服务器的公钥加密。
服务器得到这个证书以后,会用私钥对数据进行解密,然后读出客户端证书。
等服务器对客户端的证书认证通过以后,
才是协商算法和交换通信密钥。
你的代码里面似乎没有涉及到客户端的认证,只是一个单向认证。
PS:淘宝的证书是导入到浏览器里面的。当打开淘宝的网页的时候,会自动把证书发过去。
并且,这个证书是需要用服务器的公钥加密。
服务器得到这个证书以后,会用私钥对数据进行解密,然后读出客户端证书。
等服务器对客户端的证书认证通过以后,
才是协商算法和交换通信密钥。
你的代码里面似乎没有涉及到客户端的认证,只是一个单向认证。
PS:淘宝的证书是导入到浏览器里面的。当打开淘宝的网页的时候,会自动把证书发过去。
#8
//(作者:陈波,2011-11-16,转载请注明 Form:http://blog.csdn.net/jinhill/article/details/6979200)
#include "stdio.h"
#include "string.h"
#include "openssl/ssl.h"
#include "openssl/bio.h"
#include "openssl/err.h"
#pragma comment(lib, "WS2_32.lib")
#pragma comment(lib, "libeay32.lib")
#pragma comment(lib, "ssleay32.lib")
//获取服务器证书
int GetSrvCert(SSL * ssl, X509 ** pCert)
{
int rv = -1;
if(ssl == NULL)
{
return rv;
}
rv = SSL_get_verify_result(ssl);
*pCert = SSL_get_peer_certificate(ssl);
return rv;
}
//验证证书的合法性
int VerifyCert(X509 * pCert, const char * hostname)
{
char commonName [512] = {0};
X509_NAME * name = NULL;
if(pCert == NULL || hostname == NULL)
{
return -1;
}
//获取commonName
name = X509_get_subject_name(pCert);
X509_NAME_get_text_by_NID(name, NID_commonName, commonName, 512);
fprintf(stderr, "VerifyCert - Common Name on certificate: %s\n", commonName);
if(strcmp(commonName, hostname) == 0)
{
return 1;
}
else
{
return 0;
}
}
int main()
{
BIO *bio = NULL;
SSL *ssl = NULL;
SSL_CTX *ctx = NULL;
X509 *pCert = NULL;
int nRead = 0;
int nTotalLen = 0;
char szHttpReq[255] = "GET / HTTP/1.1\r\nHost: www.jinhill.com\r\nConnection: Close\r\n\r\n";
char szResp[1024] = {0};
//初始化SSL库
SSL_library_init();
ERR_load_BIO_strings();
SSL_load_error_strings();
//添加SSL握手时所有支持的算法
OpenSSL_add_all_algorithms();
//设置客户端使用的SSL版本
SSL_METHOD* sslMethod = (SSL_METHOD*)SSLv3_client_method();
//创建SSL上下文环境 每个进程只需维护一个SSL_CTX结构体
ctx = SSL_CTX_new(sslMethod);
//加载受信任的根证书
if(! SSL_CTX_load_verify_locations(ctx, "JinhillRootCA.cer", NULL))
{
fprintf(stderr, "Error loading trust store\n");
ERR_print_errors_fp(stderr);
SSL_CTX_free(ctx);
return 0;
}
//设置证书密码
SSL_CTX_set_default_passwd_cb_userdata(ctx, "1234");
//读取证书文件
SSL_CTX_use_certificate_file(ctx,"cb.crt",SSL_FILETYPE_PEM);
//读取密钥文件
SSL_CTX_use_PrivateKey_file(ctx,"cb.key",SSL_FILETYPE_PEM);
//验证密钥是否与证书一致
SSL_CTX_check_private_key(ctx);
bio = BIO_new_ssl_connect(ctx);
BIO_get_ssl(bio, &ssl);
//设备SSL连接模式自动重试
SSL_set_mode(ssl, SSL_MODE_AUTO_RETRY);
//建议连接
BIO_set_conn_hostname(bio, "www.jinhill.com:443");
fprintf(stderr, "Connecting to host www.jinhill.com\n");
if(BIO_do_connect(bio) <= 0)
{
fprintf(stderr, "Error attempting to connect\n");
ERR_print_errors_fp(stderr);
BIO_free_all(bio);
SSL_CTX_free(ctx);
return 0;
}
fprintf(stderr, "Retrieving peer certificate\n");
//获取服务器证书
if(GetSrvCert(ssl, &pCert) != X509_V_OK)
{
fprintf(stderr, "Certificate verification error: %i\n", SSL_get_verify_result(ssl));
BIO_free_all(bio);
SSL_CTX_free(ctx);
return 0;
}
//校验服务器证书
fprintf(stderr, "Validating peer certificate\n");
if(! VerifyCert(pCert, "www.jinhill.com"))
{
fprintf(stderr, "Hostname and Common Name do not match\n");
BIO_free_all(bio);
SSL_CTX_free(ctx);
return 0;
}
//发送HTTP请求
fprintf(stderr, "Sending szHttpReq\n");
BIO_write(bio, szHttpReq, strlen(szHttpReq));
//读取HTTP响应
fprintf(stderr, "Reading response\n");
nTotalLen = 0;
while(1)
{
nRead = BIO_read(bio, szResp, 1024);
if(nRead <= 0)
{
break;
}
szResp[nRead] = 0;
nTotalLen += nRead;
printf("%s", szResp);
}
printf("\nTotal bytes read: %i\n", nTotalLen);
//关闭连接
BIO_free_all(bio);
SSL_CTX_free(ctx);
return 0;
}
#1
补充:为什么服务器不能够获得客户端的证书?
银行或者淘宝等网站 他们的ssl的原理是什么?怎么实现双向认证?客户端的证书在那里?服务器呢?
银行或者淘宝等网站 他们的ssl的原理是什么?怎么实现双向认证?客户端的证书在那里?服务器呢?
#2
兄弟,你没有在客户端程序中加载客户端证书和私钥啊,这样行吗?服务端程序向客户端要证书时,客户程序不知道用什么证书来回答服务器吧?
#3
该回复于2011-04-15 16:12:35被版主删除
#4
比如银行。客户证书在usb key中,客户程序就应该从usb key中取出证书并在服务器要求时给它
#5
你的客户端要配置证书,供服务器来验证
#6
该回复于2011-05-20 13:42:09被版主删除
#7
SSL认证的时候,是需要把客户端的公钥证书传给服务器的。
并且,这个证书是需要用服务器的公钥加密。
服务器得到这个证书以后,会用私钥对数据进行解密,然后读出客户端证书。
等服务器对客户端的证书认证通过以后,
才是协商算法和交换通信密钥。
你的代码里面似乎没有涉及到客户端的认证,只是一个单向认证。
PS:淘宝的证书是导入到浏览器里面的。当打开淘宝的网页的时候,会自动把证书发过去。
并且,这个证书是需要用服务器的公钥加密。
服务器得到这个证书以后,会用私钥对数据进行解密,然后读出客户端证书。
等服务器对客户端的证书认证通过以后,
才是协商算法和交换通信密钥。
你的代码里面似乎没有涉及到客户端的认证,只是一个单向认证。
PS:淘宝的证书是导入到浏览器里面的。当打开淘宝的网页的时候,会自动把证书发过去。
#8
//(作者:陈波,2011-11-16,转载请注明 Form:http://blog.csdn.net/jinhill/article/details/6979200)
#include "stdio.h"
#include "string.h"
#include "openssl/ssl.h"
#include "openssl/bio.h"
#include "openssl/err.h"
#pragma comment(lib, "WS2_32.lib")
#pragma comment(lib, "libeay32.lib")
#pragma comment(lib, "ssleay32.lib")
//获取服务器证书
int GetSrvCert(SSL * ssl, X509 ** pCert)
{
int rv = -1;
if(ssl == NULL)
{
return rv;
}
rv = SSL_get_verify_result(ssl);
*pCert = SSL_get_peer_certificate(ssl);
return rv;
}
//验证证书的合法性
int VerifyCert(X509 * pCert, const char * hostname)
{
char commonName [512] = {0};
X509_NAME * name = NULL;
if(pCert == NULL || hostname == NULL)
{
return -1;
}
//获取commonName
name = X509_get_subject_name(pCert);
X509_NAME_get_text_by_NID(name, NID_commonName, commonName, 512);
fprintf(stderr, "VerifyCert - Common Name on certificate: %s\n", commonName);
if(strcmp(commonName, hostname) == 0)
{
return 1;
}
else
{
return 0;
}
}
int main()
{
BIO *bio = NULL;
SSL *ssl = NULL;
SSL_CTX *ctx = NULL;
X509 *pCert = NULL;
int nRead = 0;
int nTotalLen = 0;
char szHttpReq[255] = "GET / HTTP/1.1\r\nHost: www.jinhill.com\r\nConnection: Close\r\n\r\n";
char szResp[1024] = {0};
//初始化SSL库
SSL_library_init();
ERR_load_BIO_strings();
SSL_load_error_strings();
//添加SSL握手时所有支持的算法
OpenSSL_add_all_algorithms();
//设置客户端使用的SSL版本
SSL_METHOD* sslMethod = (SSL_METHOD*)SSLv3_client_method();
//创建SSL上下文环境 每个进程只需维护一个SSL_CTX结构体
ctx = SSL_CTX_new(sslMethod);
//加载受信任的根证书
if(! SSL_CTX_load_verify_locations(ctx, "JinhillRootCA.cer", NULL))
{
fprintf(stderr, "Error loading trust store\n");
ERR_print_errors_fp(stderr);
SSL_CTX_free(ctx);
return 0;
}
//设置证书密码
SSL_CTX_set_default_passwd_cb_userdata(ctx, "1234");
//读取证书文件
SSL_CTX_use_certificate_file(ctx,"cb.crt",SSL_FILETYPE_PEM);
//读取密钥文件
SSL_CTX_use_PrivateKey_file(ctx,"cb.key",SSL_FILETYPE_PEM);
//验证密钥是否与证书一致
SSL_CTX_check_private_key(ctx);
bio = BIO_new_ssl_connect(ctx);
BIO_get_ssl(bio, &ssl);
//设备SSL连接模式自动重试
SSL_set_mode(ssl, SSL_MODE_AUTO_RETRY);
//建议连接
BIO_set_conn_hostname(bio, "www.jinhill.com:443");
fprintf(stderr, "Connecting to host www.jinhill.com\n");
if(BIO_do_connect(bio) <= 0)
{
fprintf(stderr, "Error attempting to connect\n");
ERR_print_errors_fp(stderr);
BIO_free_all(bio);
SSL_CTX_free(ctx);
return 0;
}
fprintf(stderr, "Retrieving peer certificate\n");
//获取服务器证书
if(GetSrvCert(ssl, &pCert) != X509_V_OK)
{
fprintf(stderr, "Certificate verification error: %i\n", SSL_get_verify_result(ssl));
BIO_free_all(bio);
SSL_CTX_free(ctx);
return 0;
}
//校验服务器证书
fprintf(stderr, "Validating peer certificate\n");
if(! VerifyCert(pCert, "www.jinhill.com"))
{
fprintf(stderr, "Hostname and Common Name do not match\n");
BIO_free_all(bio);
SSL_CTX_free(ctx);
return 0;
}
//发送HTTP请求
fprintf(stderr, "Sending szHttpReq\n");
BIO_write(bio, szHttpReq, strlen(szHttpReq));
//读取HTTP响应
fprintf(stderr, "Reading response\n");
nTotalLen = 0;
while(1)
{
nRead = BIO_read(bio, szResp, 1024);
if(nRead <= 0)
{
break;
}
szResp[nRead] = 0;
nTotalLen += nRead;
printf("%s", szResp);
}
printf("\nTotal bytes read: %i\n", nTotalLen);
//关闭连接
BIO_free_all(bio);
SSL_CTX_free(ctx);
return 0;
}