搞了一两天的https服务端,终于流程的运行起来了。
大部分时间都是花在自签名证书上,找了很多文章,都是已失败告终。
最终借鉴大佬的文章,至此成功了百分之九十。
非常感谢。
我自己在整理下吧。
环境
Windows目前安装openssl在D:\Program Files\OpenSSL-Win64\bin路径
在bin目录下执行:
mkdir -p demoCA/newcerts
touch ./demoCA/index.txt ./demoCA/serial
echo "01">> ./demoCA/serial
在签署证书之前需要确认openssl.cnf中的配置(放在存放位置,可以用-config 指定位置),如下所示:
#根据实际情况修改,将match改成optional,否则ca.crt必须与server.csr中的各个字段值一致才能签署
[ policy_match ]
countryName = optional
stateOrProvinceName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
# 确保req下存在以下2行(默认第一行是有的,第2行被注释了)
[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req
# 确保req_distinguished_name下没有 0.xxx 的标签,有的话把0.xxx的0. 去掉
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = XX
countryName_min = 2
countryName_max = 2
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
localityName_default = Default City
organizationName = Organization Name (eg, company)
organizationName_default = Default Company Ltd
organizationalUnitName = Organizational Unit Name (eg, section)
commonName = Common Name (eg, your name or your server\'s hostname)
commonName_max = 64
emailAddress = Email Address
emailAddress_max = 64
#添加一行subjectAltName=@alt_names
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName=@alt_names
#新增alt_names,注意括号前后的空格,DNS.x 的数量可以自己加
#如果没有IP这一项,浏览器使用IP访问时验证无法通过
#这个IP为我的linux设备IP
[ alt_names ]
IP.1 = 192.168.8.147
DNS.1 = dfe.leida.org
DNS.2 = ex.abcexpale.net
生成自签CA证书
生成CA私钥
openssl genrsa -out ca.key 2048
生成CA证书
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt -config openssl.cnf
注:
Common Name (e.g. server FQDN or YOUR name) []:ca.org 这边随便填就可以。
openssl.cnf的路径注意填对。最后在当前目录下生成的ca.key即为CA私钥,ca.crt即为CA证书(包含CA公钥)
生成服务器证书
生成服务器私钥
openssl genrsa -out server.key 2048
生成服务器签署申请文件
openssl req -new -out server.csr -key server.key -config openssl.cnf
注:
需要填写服务器信息,如实填写即可。需要注意Common Name 需要与openssl.cnf 中配置的域名相对应(alt_names),否则客户端无法验证。该命令最后生成的server.csr即为申请文件。
使用CA证书和私钥签署服务器证书
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -extensions v3_req -config openssl.cnf
注:
直接运行该签署命令,
创建完毕后,运行签署命令即可完成服务器证书的制作。当前目录下生成的server.crt即为服务器证书,server.key为服务器私钥
将证书导出成浏览器支持的.p12格式
openssl pkcs12 -export -clcerts -in ca.crt -inkey ca.key -out ca.p12
openssl pkcs12 -export -clcerts -in server.crt -inkey server.key -out server.p12
把server.p12安装到个人。ca.p12安装到受信任的根证书。
双击证书就可安装。
ca.crt和server.crt应该也要安装,这个还没有很清楚。目前我是都安装了。后续在测试看看。
使用浏览器测试https
SSL_accept报错问题;
SSL_get_peer_certificate获取不到证书问题;
需要增加这些,不然获取不到客户端证书。
// 双向验证 // SSL_VERIFY_PEER—要求对证书进行认证,没有证书也会放行 // SSL_VERIFY_FAIL_IF_NO_PEER_CERT—要求客户端需要提供证书,但验证发现单独使用没有证书也会放行
SSL_CTX_set_verify
//没设置这个会报错
//error:140D9115:SSL routines:SSL_GET_PREV_SESSION:session id context uninitialized
SSL_CTX_set_session_id_context
// 设置信任根证书
SSL_CTX_load_verify_locations
最后终于折腾上岸。
服务端和客户端c代码可参考