TLS + OpenSSL + Engine + PKCS#11 + softhsm2 安全通信

引擎库路径只有在 /lib 下才能被 "LOAD" 识别到,OpenSSL的ReadMe给的示例在/lib,看源码才能知道为何不能任意指定路径

// #define PKCS11_ENGINE_PATH "/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so"
#define PKCS11_ENGINE_PATH "/lib/pkcs11.so"

客户端

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>
#include <sys/socket.h>
#include <resolv.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <unistd.h>
#include <openssl/err.h>
#include <openssl/engine.h>
#include <openssl/pem.h>
#include <openssl/ssl.h>
#include <openssl/x509.h>// #define PKCS11_ENGINE_PATH "/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so"
#define PKCS11_ENGINE_PATH "/lib/pkcs11.so"
#define PKCS11_MODULE_PATH "/usr/lib/softhsm/libsofthsm2.so"#define CERT_FILE "../hsm_pem/client.crt"
#define CA_CERT_FILE "../hsm_pem/ca.crt"#define TOKEN_LABEL "mytoken"
#define PIN "1234"
#define KEY_ID "mytoken"#define MAXBUF 1024void initialize_ssl_library() {SSL_library_init();SSL_load_error_strings();OpenSSL_add_all_algorithms();
}void cleanup_ssl_library() {EVP_cleanup();ERR_free_strings();
}ENGINE *load_pkcs11_engine() {ENGINE_load_dynamic();ENGINE *engine = ENGINE_by_id("dynamic");if (!engine) {fprintf(stderr, "Failed to load dynamic engine\n");return NULL;}if (!ENGINE_ctrl_cmd_string(engine, "SO_PATH", PKCS11_ENGINE_PATH, 0) ||!ENGINE_ctrl_cmd_string(engine, "ID", "pkcs11", 0) ||!ENGINE_ctrl_cmd_string(engine, "LIST_ADD", "1", 0) ||!ENGINE_ctrl_cmd_string(engine, "LOAD", NULL, 0)) {fprintf(stderr, "Failed to configure and load PKCS#11 engine\n");ENGINE_free(engine);return NULL;}if (!ENGINE_ctrl_cmd_string(engine, "MODULE_PATH", PKCS11_MODULE_PATH, 0)) {fprintf(stderr, "Failed to set MODULE_PATH\n");ENGINE_free(engine);return NULL;}if (!ENGINE_init(engine)) {fprintf(stderr, "Failed to initialize PKCS#11 engine\n");ENGINE_free(engine);return NULL;}if (!ENGINE_ctrl_cmd_string(engine, "PIN", PIN, 0)) {fprintf(stderr, "Failed to set PIN\n");ENGINE_free(engine);return NULL;}return engine;
}int main(int argc, char **argv)
{initialize_ssl_library();SSL_CTX *ctx = SSL_CTX_new(TLS_client_method());if (!ctx) {fprintf(stderr, "Failed to create SSL_CTX\n");return 1;}// Load CA certificateif (!SSL_CTX_load_verify_locations(ctx, CA_CERT_FILE, NULL)) {fprintf(stderr, "Failed to load CA certificate\n");SSL_CTX_free(ctx);cleanup_ssl_library();return 1;}// Load client certificateif (!SSL_CTX_use_certificate_file(ctx, CERT_FILE, SSL_FILETYPE_PEM)) {fprintf(stderr, "Failed to load client certificate\n");SSL_CTX_free(ctx);cleanup_ssl_library();return 1;}// Load PKCS#11 engineENGINE *engine = load_pkcs11_engine();if (!engine) {SSL_CTX_free(ctx);cleanup_ssl_library();return 1;}char key_id[256];snprintf(key_id, sizeof(key_id), "pkcs11:token=%s;object=%s", TOKEN_LABEL, KEY_ID);EVP_PKEY *pkey = ENGINE_load_private_key(engine, key_id, NULL, NULL);if (!pkey) {fprintf(stderr, "Failed to load private key from PKCS#11\n");ENGINE_free(engine);SSL_CTX_free(ctx);cleanup_ssl_library();return 1;}if (!SSL_CTX_use_PrivateKey(ctx, pkey)) {fprintf(stderr, "Failed to use private key\n");EVP_PKEY_free(pkey);ENGINE_free(engine);SSL_CTX_free(ctx);cleanup_ssl_library();return 1;}EVP_PKEY_free(pkey);ENGINE_free(engine);// Verify that the private key matches the certificateif (!SSL_CTX_check_private_key(ctx)) {fprintf(stderr, "Private key does not match the certificate public key\n");SSL_CTX_free(ctx);cleanup_ssl_library();return 1;}/* 创建一个 socket 用于 tcp 通信 */int sockfd;struct sockaddr_in dest;if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {perror("Socket");exit(errno);}printf("socket created success!\n");/* 初始化服务器端(对方)的地址和端口信息 */bzero(&dest, sizeof(dest));dest.sin_family = AF_INET;dest.sin_port = htons(atoi(argv[2]));if (inet_aton(argv[1], (struct in_addr *) &dest.sin_addr.s_addr) == 0) {perror(argv[1]);exit(errno);}printf("address created success!\n");/* 连接服务器 */if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {perror("Connect ");exit(errno);}printf("server connected  success!\n");// Create SSL connectionSSL *ssl = SSL_new(ctx);if (!ssl) {fprintf(stderr, "Failed to create SSL object\n");SSL_CTX_free(ctx);cleanup_ssl_library();return 1;}SSL_set_fd(ssl, sockfd);// Perform SSL/TLS handshake with the serverif (SSL_connect(ssl) <= 0) {fprintf(stderr, "SSL/TLS handshake failed\n");SSL_free(ssl);SSL_CTX_free(ctx);cleanup_ssl_library();return 1;}printf("SSL/TLS handshake successful\n");char send_buffer[MAXBUF + 1];char recv_buffer[MAXBUF + 1];int len;while(1){//使用SSL_write函数发送数据printf("请输入要发送给服务器的内容:\n");scanf("%s", send_buffer);if(!strncmp(send_buffer,"+++",3))break;     //收到+++表示退出/* 发消息给服务器 */len = SSL_write(ssl, send_buffer, strlen(send_buffer));if (len < 0)printf("消息'%s'发送失败!错误代码是%d, 错误信息是'%s'\n",send_buffer, errno, strerror(errno));elseprintf("消息'%s'发送成功,共发送了%d个字节! \n",send_buffer, len);memset(send_buffer,0,sizeof(send_buffer));/* 使用SSL_read函数接收数据,接收对方发过来的消息,最多接收 MAXBUF 个字节 */len = SSL_read(ssl, recv_buffer, MAXBUF);if (len > 0)printf("接收消息成功:'%s',共%d个字节的数据\n",recv_buffer, len);else {printf("消息接收失败!错误代码是%d, 错误信息是'%s'\n",errno, strerror(errno));break;}memset(recv_buffer,0,sizeof(recv_buffer));}SSL_free(ssl);SSL_CTX_free(ctx);cleanup_ssl_library();return 0;
}

使用参数

./ssl_server 7838 1 ./pem/server.crt ./pem/server.key ./pem/ca.crt
./ssl_client 127.0.0.1 7838

测试结果,服务端

./ssl_server 7838 1 ./pem/server.crt ./pem/server.key ./pem/ca.crt
socket created success!
binded success!
begin listen,waitting for client connect...server: got connection from 127.0.0.1, port 37678, socket 6
收到client X509证书
client数字证书信息:
证书: /CN=localhost/C=CN/ST=clientprovince/L=clientcity/O=clientorganization/OU=clientgroup
颁发者: /CN=MyCA对client证书验证通过!!!等待客户端发送过来的消息:
接收client消息成功:'14673218723187234',共17个字节的数据
请输入要发送给客户端的内容:

客户端

./ssl_client 127.0.0.1 7838
socket created success!
address created success!
server connected  success!SSL/TLS handshake successful请输入要发送给服务器的内容:
14673218723187234
消息'14673218723187234'发送成功,共发送了17个字节! 
接收消息成功:'fdsdfsgdfsjk',共12个字节的数据
请输入要发送给服务器的内容:

 服务端引用

基于openssl实现https双向身份认证及安全通信_基于openssl身份认证-CSDN博客

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/859773.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

线性代数|机器学习-P18快速下降奇异值

文章目录 1. 为什么要低秩矩阵 1. 为什么要低秩矩阵 我们的世界里面有很多数据&#xff0c;如果我们原封不动的发送数据&#xff0c;那么会导致数据量的增大&#xff0c;我们希望对数据进行压缩后再打包压缩&#xff0c;这样的话我们能够在带宽一定的情况下发送更多的数据&…

通过ETLCloud实现SQL Server数据同步至Oracle

SQL Server与Oracle作为全球两大主流的关系型数据库管理系统&#xff08;RDBMS&#xff09;&#xff0c;在企业级应用中扮演着至关重要的角色。它们各自凭借独特的技术优势、强大的数据处理能力以及高度的可扩展性&#xff0c;支撑着从中小型企业到大型跨国公司的各类复杂业务需…

区块链学习03-空投篇

Hybrid 是与 以太坊 兼容的第 2 层区块链&#xff0c;集成了混合专家 (MoE) 框架&#xff0c;支持以即插即用的方式轻松创建和货币化 AI 代理。该平台旨在提高区块链应用程序中数据的完整性和可用性&#xff0c;支持跨各个行业开发和部署 AI 驱动的解决方案。 Hybrid 正在为其…

服务器重启后jenkins任务内容不见了,并且新建任务也不见了

服务器centos7.4 背景&#xff1a;服务器异常重启后&#xff0c;jenkins上面的任务只剩下一些前端项目&#xff0c;后端的任务都不展示了&#xff0c;jenkins版本是Jenkins 2.346.3 解决方案&#xff1a;根据显示&#xff0c;jenkins很多的插件引用失败&#xff0c;显示需要升…

ModuleNotFoundError: No module named ‘h5py‘

到 ModuleNotFoundError: No module named h5py 错误表明 Python 环境中没有安装 h5py 模块。h5py 是一个用于处理 HDF5 二进制数据格式的 Python 接口&#xff0c;广泛用于大规模存储和操纵数据。 解决方案&#xff1a;安装 h5py 要解决这个问题&#xff0c;你需要在你的 Py…

报错:ERROR_ No matching distribution found for gitpython_=3.1.30

版本不匹配 当前安装环境&#xff1a;python3.8 pytorch2.1.2 预估pytorch版本太高 重新安装环境&#xff1a;python3.9 pytorch1.9.1 问题得到解决 python和pytorch对应版本参考

mvn配置中repository和mirror的区别

文章目录 前言一、 repository二、 mirror三、 具体区别四、 使用场景总结 前言 平时在配置mvn仓库地址的时候&#xff0c;总是会百度一下&#xff0c;有时候文章让用repository配置&#xff0c;有时候用mirror&#xff0c;配置起来都能用&#xff0c;于是就不怎么在意他们的区…

EcmaScript6全新语法特性-----EcmaScript6(1)

age : 20,language : "Eng"}// 对象也可以用结构表达式来获取对应的值const { name,age,language} person;// 这样可以将我们获取的值name变成abc这个变量// const { name:abc,age,language} person;// 字符串拓展let str "Hello,vue";// 判断是否以xxx…

.idea文件夹里面iml文件有啥用

.idea文件夹和其中的.iml文件对于IntelliJ IDEA项目非常重要&#xff0c;它们共同构成了IDEA对项目理解的基础。让我们详细了解一下这两者的作用&#xff1a; .idea文件夹 .idea文件夹包含了IntelliJ IDEA项目的所有配置信息&#xff0c;包括但不限于&#xff1a; 编译器设置…

中考加油 医路护航有青海东大肛肠医院

中考临近&#xff0c;考生的健康成了家长最为关心的问题。科学饮食不但可以促进广大考生的身体在炎热季节中正常代谢&#xff0c;而且能够很好地提高他们的学习效率&#xff0c;改善他们迎考状态&#xff0c; 助力考生调整状态迎接考试&#xff0c;西宁市城西区青海东大肛肠医…

No module named ‘tvtk.custom.light‘

pip list numpy是2.0.0 mayavi报错&#xff1a; File "tvtk_classes/tvtk_helper.py", line 22, in get_module ModuleNotFoundError: No module named tvtk.custom.light 解决方法&#xff1a; pip install numpy1.26 mayavi 4.8.2 vtk 9.3.0

七人团购新体验:解锁数字时代购物新篇章

在数字化浪潮的推动下&#xff0c;购物体验正迈向新的里程碑。其中&#xff0c;七人团购模式以其独特的魅力和创新性&#xff0c;为消费者带来了前所未有的实惠与便利。现在&#xff0c;让我们一同探索这一新兴购物模式的运作机制与潜在价值&#xff0c;特别是针对一款标价599元…

宝塔面板一键迁移项目站点教程

此插件仅用于将当前机器数据迁移出去&#xff0c;数据接收机器无需安装此插件。 注意事项&#xff1a; 当前教程仅适用《宝塔一键迁移API版本》插件&#xff0c;版本号 >3.0。 推荐迁移面板版本 > 6.9.5&#xff0c;低版本迁移可能存在部分数据无法迁移成功。 面板版…

cube studio开源一站式机器学习平台:k3s部署cube-studio

全栈工程师开发手册 &#xff08;作者&#xff1a;栾鹏&#xff09; 一站式云原生机器学习平台 前言 开源地址&#xff1a;https://github.com/tencentmusic/cube-studio cube studio 腾讯开源的国内最热门的一站式机器学习mlops/大模型训练平台&#xff0c;支持多租户&…

解决Element-ui的el-table固定列后出现的表格错位问题

问题情况大致是这样的&#xff1a; 查看官网 解决办法&#xff1a;

RubyMine 2024 mac/win版:智慧编程,从心出发

JetBrains RubyMine 2024 是一款专为Ruby和Rails开发者打造的高效集成开发环境(IDE)。它凭借其卓越的性能和丰富的功能&#xff0c;帮助开发者在Ruby和Rails的开发过程中提升效率&#xff0c;减少错误。 RubyMine 2024 mac/win版获取 RubyMine 2024 提供了强大的代码编辑功能&…

科东软件@你逛华南工博会,展会亮点给你整理好了

随着工业AI、5G、边缘计算等前沿技术的迅速发展&#xff0c;未来工业正朝着大规模智能生产和柔性生产的方向稳步迈进。东土科技紧跟产业发展潮流&#xff0c;结合自身在工业底层控制技术、网络技术等方面的深厚积累&#xff0c;积极创新。 亮点带你看 鸿道操作系统&#xff0…

VMware Workstation安装Windows Server2019系统详细操作步骤

虚拟机版本 VMware Workstation 16 Prp 16.2.5 build-20904516 实现操作 创建虚拟机 创建新的虚拟机 自定义->下一步 默认即可&#xff0c;下一步 稍后安装操作系统->下一步 按照图下所示选择好系统->下一步 设置好虚拟机名称和位置->下一步 默认即可&#xff0…

5个wordpress成品站主题

Sora索啦高端制造业wordpress主题 红色高端制造业wordpress主题&#xff0c;适合外贸企业出海建独立站的wordpress模板。 https://www.jianzhanpress.com/?p5885 Polar钋啦wordpress外贸主题 制造业wordpress网站模板&#xff0c;适合生产制造企业官方网站使用的wordpress外…

mock-前端数据模拟

简介 数据模拟不是开发流程中的必要一环 Json-server 简介&#xff1a; json-server 是一个简单的 Node.js 服务端应用程序&#xff0c;这个工具的主要作用是提供一个模拟的后端服务&#xff0c;可以在前端开发过程中独立于后端进行简单工作。 使用&#xff1a; 1、 安装…