如何利用OpenSSL在Linux上实现HTTPS通信

要在Linux上使用OpenSSL实现HTTPS通信，您需要遵循以下步骤：

1. 安装OpenSSL：大多数Linux发行版已经预装了OpenSSL。如果没有，请使用包管理器安装。例如，在基于Debian的系统上，可以使用以下命令安装：

sudo apt-get update
sudo apt-get install openssl

2. 生成自签名证书：要创建一个HTTPS服务器，您需要一个SSL证书。对于测试目的，您可以创建一个自签名证书。运行以下命令生成一个自签名证书和私钥：

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365

按照提示输入相关信息。这将在当前目录下生成名为cert.pem的证书文件和名为key.pem的私钥文件。

3. 创建简单的HTTP服务器：创建一个名为server.c的C程序文件，并添加以下代码：

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <openssl/ssl.h>
#include <openssl/err.h>

#define PORT 4433

void init_openssl() {
    SSL_load_error_strings();
    OpenSSL_add_ssl_algorithms();
}

void cleanup_openssl() {
    EVP_cleanup();
}

int create_socket(int port) {
    int s;
    struct sockaddr_in addr;

    addr.sin_family = AF_INET;
    addr.sin_port = htons(port);
    addr.sin_addr.s_addr = htonl(INADDR_ANY);

    s = socket(AF_INET, SOCK_STREAM, 0);
    if (s < 0) {
        perror("Unable to create socket");
        exit(EXIT_FAILURE);
    }

    if (bind(s, (struct sockaddr*)&addr, sizeof(addr)) < 0) {
        perror("Unable to bind");
        exit(EXIT_FAILURE);
    }

    if (listen(s, 1) < 0) {
        perror("Unable to listen");
        exit(EXIT_FAILURE);
    }

    return s;
}

void configure_socket(int s) {
    int yes = 1;

    setsockopt(s, SOL_SOCKET, SO_REUSEADDR, &yes, sizeof(yes));
}

SSL_CTX *create_context() {
    const SSL_METHOD *method;
    SSL_CTX *ctx;

    method = TLS_server_method();

    ctx = SSL_CTX_new(method);
    if (!ctx) {
        perror("Unable to create SSL context");
        ERR_print_errors_fp(stderr);
        exit(EXIT_FAILURE);
    }

    return ctx;
}

void configure_context(SSL_CTX *ctx) {
    SSL_CTX_set_ecdh_auto(ctx, 1);

    // Set the key and cert
    if (SSL_CTX_use_certificate_file(ctx, "cert.pem", SSL_FILETYPE_PEM) <= 0) {
        ERR_print_errors_fp(stderr);
        exit(EXIT_FAILURE);
    }

    if (SSL_CTX_use_PrivateKey_file(ctx, "key.pem", SSL_FILETYPE_PEM) <= 0 ) {
        ERR_print_errors_fp(stderr);
        exit(EXIT_FAILURE);
    }
}

int main(int argc, char *argv[]) {
    int sock;
    SSL_CTX *ctx;

    init_openssl();
    ctx = create_context();

    configure_context(ctx);
    configure_socket(sock = create_socket(PORT));

    while (1) {
        struct sockaddr_in addr;
        uint len = sizeof(addr);
        SSL *ssl;
        const char reply[] = "HTTP/1.1 200 OK\r\nContent-Length: 13\r\nConnection: close\r\n\r\nHello, world!\r\n";

        int client = accept(sock, (struct sockaddr*)&addr, &len);
        if (client < 0) {
            perror("Unable to accept");
            continue;
        }

        ssl = SSL_new(ctx);
        SSL_set_fd(ssl, client);

        if (SSL_accept(ssl) <= 0) {
            ERR_print_errors_fp(stderr);
        } else {
            SSL_write(ssl, reply, strlen(reply));
        }

        SSL_shutdown(ssl);
        SSL_free(ssl);
        close(client);
    }

    close(sock);
    SSL_CTX_free(ctx);
    cleanup_openssl();

    return 0;
}

4. 编译C程序：使用以下命令编译C程序：

gcc server.c -o server -lssl -lcrypto

5. 运行服务器：使用以下命令运行服务器：

sudo ./server

服务器将在端口4433上监听HTTPS连接。由于我们使用的是自签名证书，浏览器可能会警告您证书不受信任。在这种情况下，选择“继续前往”以访问服务器。

6. 使用浏览器或curl测试HTTPS连接：在浏览器中输入https://localhost:4433，或使用curl命令：

curl https://localhost:4433

您应该看到服务器返回的“Hello, world!”消息。

请注意，这仅适用于测试目的。在生产环境中，您需要使用由受信任的证书颁发机构（CA）签发的证书。