OpenSSL如何实现SSL/TLS握手

OpenSSL是一个强大的加密库，它实现了SSL（Secure Sockets Layer）和TLS（Transport Layer Security）协议。SSL/TLS握手是客户端和服务器之间建立安全连接的过程。以下是OpenSSL实现SSL/TLS握手的基本步骤：

1. 客户端Hello

• 客户端发起连接：客户端通过TCP连接到服务器。
• 发送ClientHello消息：客户端发送一个ClientHello消息，包含以下信息：
  • 支持的SSL/TLS版本
  • 支持的密码套件列表
  • 随机数（ClientRandom）
  • 可选的会话ID（用于会话恢复）
  • 可选的扩展列表

2. 服务器Hello

• 接收ClientHello：服务器接收ClientHello消息。
• 发送ServerHello消息：服务器选择一个双方都支持的SSL/TLS版本和密码套件，并发送ServerHello消息，包含以下信息：
  • 选择的SSL/TLS版本
  • 选择的密码套件
  • 随机数（ServerRandom）
  • 可选的会话ID（如果客户端提供了会话ID并且服务器支持会话恢复）
  • 可选的扩展列表

3. 证书交换

• 服务器发送证书：服务器发送其数字证书给客户端，证书包含服务器的公钥。
• 客户端验证证书：客户端验证服务器证书的有效性，包括检查证书链、证书签名和证书有效期等。

4. 密钥交换

• 生成预主密钥（Pre-Master Secret）：客户端生成一个预主密钥，并使用服务器的公钥加密后发送给服务器。
• 解密预主密钥：服务器使用其私钥解密预主密钥。
• 生成主密钥（Master Secret）：客户端和服务器使用预主密钥、ClientRandom和ServerRandom生成主密钥。

5. 完成握手

• 发送Finished消息：客户端和服务器分别发送Finished消息，包含之前所有握手消息的摘要，以验证握手的完整性。
• 验证Finished消息：接收方验证Finished消息的摘要，确保握手过程中没有发生篡改。

6. 加密通信

• 开始加密通信：握手完成后，客户端和服务器开始使用主密钥进行加密通信。

示例代码

以下是一个简单的OpenSSL示例，展示如何使用OpenSSL库实现一个基本的SSL/TLS客户端和服务器：

服务器端代码（server.c）

#include <openssl/ssl.h>
#include <openssl/err.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <arpa/inet.h>

void init_openssl() {
    SSL_load_error_strings();
    OpenSSL_add_ssl_algorithms();
}

void cleanup_openssl() {
    EVP_cleanup();
}

int create_socket(int port) {
    int s;
    struct sockaddr_in addr;

    addr.sin_family = AF_INET;
    addr.sin_port = htons(port);
    addr.sin_addr.s_addr = htonl(INADDR_ANY);

    s = socket(AF_INET, SOCK_STREAM, 0);
    if (s < 0) {
        perror("Unable to create socket");
        exit(EXIT_FAILURE);
    }

    if (bind(s, (struct sockaddr*)&addr, sizeof(addr)) < 0) {
        perror("Unable to bind");
        exit(EXIT_FAILURE);
    }

    if (listen(s, 1) < 0) {
        perror("Unable to listen");
        exit(EXIT_FAILURE);
    }

    return s;
}

int main(int argc, char *argv[]) {
    int sock;
    SSL_CTX *ctx;
    SSL *ssl;
    int client;

    init_openssl();

    ctx = SSL_CTX_new(TLS_server_method());
    if (!ctx) {
        perror("Unable to create SSL context");
        ERR_print_errors_fp(stderr);
        exit(EXIT_FAILURE);
    }

    if (SSL_CTX_use_certificate_file(ctx, "server.crt", SSL_FILETYPE_PEM) <= 0) {
        ERR_print_errors_fp(stderr);
        exit(EXIT_FAILURE);
    }

    if (SSL_CTX_use_PrivateKey_file(ctx, "server.key", SSL_FILETYPE_PEM) <= 0 ) {
        ERR_print_errors_fp(stderr);
        exit(EXIT_FAILURE);
    }

    sock = create_socket(4433);

    while (1) {
        client = accept(sock, NULL, NULL);
        if (client < 0) {
            perror("Unable to accept");
            continue;
        }

        ssl = SSL_new(ctx);
        SSL_set_fd(ssl, client);

        if (SSL_accept(ssl) <= 0) {
            ERR_print_errors_fp(stderr);
        } else {
            char reply[] = "Hello, SSL!";
            SSL_write(ssl, reply, strlen(reply));
        }

        SSL_shutdown(ssl);
        SSL_free(ssl);
        close(client);
    }

    close(sock);
    SSL_CTX_free(ctx);
    cleanup_openssl();

    return 0;
}

客户端代码（client.c）

#include <openssl/ssl.h>
#include <openssl/err.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <arpa/inet.h>

void init_openssl() {
    SSL_load_error_strings();
    OpenSSL_add_ssl_algorithms();
}

void cleanup_openssl() {
    EVP_cleanup();
}

int create_socket(const char *host, int port) {
    int s;
    struct sockaddr_in addr;

    addr.sin_family = AF_INET;
    addr.sin_port = htons(port);
    addr.sin_addr.s_addr = inet_addr(host);

    s = socket(AF_INET, SOCK_STREAM, 0);
    if (s < 0) {
        perror("Unable to create socket");
        exit(EXIT_FAILURE);
    }

    if (connect(s, (struct sockaddr*)&addr, sizeof(addr)) < 0) {
        perror("Unable to connect");
        exit(EXIT_FAILURE);
    }

    return s;
}

int main(int argc, char *argv[]) {
    int sock;
    SSL_CTX *ctx;
    SSL *ssl;
    char buf[1024];
    int bytes;

    init_openssl();

    ctx = SSL_CTX_new(TLS_client_method());
    if (!ctx) {
        perror("Unable to create SSL context");
        ERR_print_errors_fp(stderr);
        exit(EXIT_FAILURE);
    }

    ssl = SSL_new(ctx);
    SSL_set_fd(ssl, sock);

    if (SSL_connect(ssl) == -1) {
        ERR_print_errors_fp(stderr);
    } else {
        bytes = SSL_read(ssl, buf, sizeof(buf));
        buf[bytes] = 0;
        printf("Received: %s\n", buf);
    }

    SSL_shutdown(ssl);
    SSL_free(ssl);
    close(sock);
    SSL_CTX_free(ctx);
    cleanup_openssl();

    return 0;
}

编译和运行

gcc -o server server.c -lssl -lcrypto
gcc -o client client.c -lssl -lcrypto

./server &
./client

这个示例展示了如何使用OpenSSL库实现一个基本的SSL/TLS客户端和服务器。实际应用中可能需要处理更多的细节，如错误处理、会话恢复、证书链验证等。

亿速云提供多种品牌、不同类型SSL证书签发服务，包含：域名型、企业型、企业型专业版、增强型以及增强型专业版，单域名SSL证书300元/年起。点击查看>>