自签SSL证书实现客户端登录认证

栏目: IT技术 · 发布时间: 4年前

内容简介：自己开发的使用了ＳＳＬ协议的软件，通常没必要从证书签发机构那里来获取证书，自签证书成了必要的选择。自签证书还可以用来实现客户端登录认证。这样就获取了经ＣＡ签发的私钥server.key和证书server.crt使用相同的ＣＡ来签发服务器证书和客户端证书，服务器就可以根据ＣＡ证书来鉴定客户端的是否具有登录权限。

０.介绍

自己开发的使用了ＳＳＬ协议的软件，通常没必要从证书签发机构那里来获取证书，自签证书成了必要的选择。自签证书还可以用来实现客户端登录认证。

1.创建ＣＡ

创建ＣＡ的私钥
openssl genrsa -des3 -out rootCA.key 4096
创建ＣＡ的自签证书
openssl req -x509 -new -nodes -sha256 -days 3650 -key rootCA.key -out rootCA.crt

2.签发证书

生成证书的私钥
openssl genrsa -out server.key  4096
生成待签名的文件
openssl req -new -key server.key -out server.csr
使用ＣＡ进行签名
openssl x509 -req -CA rootCA.crt -CAKey  rootCA.key -CAcreateserial -days 365 -sha256　-in server.csr  -out server.crt

这样就获取了经ＣＡ签发的私钥server.key和证书server.crt

3.客户端的登录认证

使用相同的ＣＡ来签发服务器证书和客户端证书，服务器就可以根据ＣＡ证书来鉴定客户端的是否具有登录权限。

即：凡是经过ＣＡ签发的证书，都能登录成功；否则失败。

4.Python代码示例，演示如何验证客户端的证书

服务端代码：

import socket
from socket import AF_INET, SOCK_STREAM, SO_REUSEADDR, SOL_SOCKET, SHUT_RDWR
import ssl

listen_addr = '127.0.0.1'
listen_port = 8082
server_cert = 'server.crt'
server_key = 'server.key'
ca_cert = 'rootCA.crt'

context = ssl.create_default_context(ssl.Purpose.CLIENT_AUTH, cafile=ca_cert)
context.verify_mode = ssl.CERT_REQUIRED
context.load_cert_chain(certfile=server_cert, keyfile=server_key)
# context.load_verify_locations(cafile=ca_cert)

bindsocket = socket.socket()
bindsocket.bind((listen_addr, listen_port))
bindsocket.listen(5)

while True:
    print("Waiting for client")
    newsocket, fromaddr = bindsocket.accept()
    print("Client connected: {}:{}".format(fromaddr[0], fromaddr[1]))
    conn = context.wrap_socket(newsocket, server_side=True)
    print("SSL established. Peer: {}".format(conn.getpeercert()))
    buf = b''  # Buffer to hold received client data
    try:
        while True:
            data = conn.recv(4096)
            if data:
                # Client sent us data. Append to buffer
                buf += data
            else:
                # No more data from client. Show buffer and close connection.
                print("Received:", buf)
                break
    finally:
        print("Closing connection")
        conn.shutdown(socket.SHUT_RDWR)
        conn.close()

客户端代码

import socket
import ssl

host_addr = '127.0.0.1'
host_port = 8082
server_sni_hostname = 'example.com'
ca_cert = 'rootCA.crt'
client_cert = 'client.crt'
client_key = 'client.key'

context = ssl.create_default_context(ssl.Purpose.SERVER_AUTH, cafile=ca_cert)
context.check_hostname = False
context.load_cert_chain(certfile=client_cert, keyfile=client_key)

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
conn = context.wrap_socket(s, server_side=False, server_hostname=server_sni_hostname)
conn.connect((host_addr, host_port))
print("SSL established. Peer: {}".format(conn.getpeercert()))
print("Sending: 'Hello, world!")
conn.send(b"Hello, world!")
print("Closing connection")
conn.close()

参考

创建证书 https://gist.github.com/fntlnz/cf14feb5a46b2eda428e 0001574473 09
Python的SSL代码 https://www.electricmonk.nl/log/2018/06/02/ssl-tls-client-certificate-verification-with-python-v3-4-sslcontext/

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。

码农书籍

跨越鸿沟

[美] 杰弗里·摩尔(Geoffrey A. Moore) / 赵娅 / 机械工业出版社 / 2009-1 / 36.00元

在真正涉足高科技领域之前，你有必要读一读这本书——在这个节奏飞快、竞争激烈的技术竞技场上，这本书绝对能够帮助你更容易地获得成功。 ——威廉姆·劳森罗盛软件公司董事会主席兼CEO 最近40年来，本书对高科技营销各个方面所做出的贡献远远超过了其他任何相关书籍。如今已经有无数企业和大学分别在自己的运营和教学过程中引入了鸿沟思想，如果你还不是这些企业或大学中的一员，你可能就要担心自己的未来了......一起来看看《跨越鸿沟》这本书的介绍吧!

码农工具