2. 程式人生 > >使用libevhtp搭建HTTPS SERVER(雙向驗證身份)

使用libevhtp搭建HTTPS SERVER(雙向驗證身份)

阿新 發佈:2019-01-29

本文主要介紹使用libevhtp搭建一個HTTPS SERVER的方法,非加密的HTTP SERVER搭建方法,請點選此處 (本文的構建環境繼承自該部落格)。

本文將針對“雙向驗證身份”場景,介紹HTTPS SERVER的搭建方法。“單向驗證身份”的場景,請點選此處

1. 雙向驗證身份

有的時候,客戶端通過輸入賬號和密碼向伺服器端展示自己的身份的方式太過繁瑣,尤其是在客戶端並不是一個人、而只是一個程式的時候。這種情況下,我們希望客戶端與服務端雙方都利用一個身份證(certificate)通過SSL/TLS協議向對方展示自己的身份。

根據單向身份驗證的方法,如果讓通訊雙方互相交換身份證,就可以實現互相驗證了,但是如果一個分散式系統裡有多方都需要進行通訊, 如果任意兩方都要交換身份證的話就太麻煩了。所以,我們通常建立一個自簽署的根身份證(root CA),然後用它來簽署分散式系統中各方的身份證,這樣每一方都只要有這個根身份證,即可驗證所有其他的通訊方了。

我們可以通過以下步驟搭建雙向驗證身份的HTTPS SERVER。在本文中,我們將使用一個CA來簽署HTTPS伺服器的身份證。

1.1 建立CA

1. 建立我們自己CA的祕鑰對(RSA)檔案:

openssl genrsa -out "ca-key.pem" 2048

2. 建立我們自己CA的身份證申請(CSR)檔案,並且用CA自己的私鑰自簽署該CSR,得到CA的身份證:

openssl req -x509 -new -key ca-key.pem -days 365 -out ca-crt.pem -subj "/CN=we-as-ca"

通過上述步驟,我們可以得到了自己CA的祕鑰對檔案和證書檔案。

1.2 使用CA簽署伺服器的證書檔案

1. 生成伺服器的祕鑰對(RSA)檔案:

openssl genrsa -out server-key.pem 2048

2. 生成伺服器的身份證申請(CSR)檔案:

openssl req -new -key server-key.pem -out server-csr.pem -subj "/CN=192.168.213.133"

3. 使用前面生成的CA簽署伺服器的證書(CRT)檔案:

openssl x509 -req -in server-csr.pem -CA ca-crt.pem -CAkey ca-key.pem -CAcreateserial -out server-crt.pem -days 365

經過上述步驟,我們得到了HTTPS伺服器的祕鑰檔案server-key.pem和經過CA簽署的伺服器證書檔案server-crt.pem。

說明:上述步驟中的引數需要根據實際情況進行調整。

1.3 使用CA簽署客戶端的證書檔案

1. 生成客戶端的祕鑰對(RSA)檔案:

openssl genrsa -out client-key.pem 2048

2. 生成客戶端的身份證申請(CSR)檔案:

openssl req -new -key client-key.pem -out client-csr.pem -subj "/CN=192.168.213.129"

3. 使用前面生成的CA簽署客戶端的證書(CRT)檔案:

openssl x509 -req -in client-csr.pem -CA ca-crt.pem -CAkey ca-key.pem -CAcreateserial -out client-crt.pem -days 365

經過上述步驟,我們得到了連線HTTPS伺服器的客戶端的祕鑰檔案client-key.pem和經過CA簽署的客戶端證書檔案client-crt.pem。

說明:上述步驟中的引數需要根據實際情況進行調整。

1.4 呼叫libevhtp介面,構建HTTPS伺服器

本文的HTTPS伺服器程式碼及程式使用“單向驗證身份”場景的內容,請前往該文章檢視。

1.5 測試HTTPS伺服器

開啟一個終端,執行生成的HTTPS伺服器程式,如下:

./https_server -cert cassl/server-crt.pem -key cassl/server-key.pem -ca cassl/ca-crt.pem -verify-peer -verify-depth 2 -enforce-peer-cert

在上述命令中,我們通過指定相關引數(-verify-peer),要求伺服器對客戶端進行認證,即實現雙向認證場景。

在客戶端機器上,開啟一個終端,使用curl命令測試HTTPS伺服器,如下:

curl https://192.168.213.133:4443/ -k --key cassl/client-key.pem --cert cassl/client-crt.pem

上面的curl命令的執行結果如下:


如果客戶端的終端中出現上述資訊,說明雙向身份驗證的HTTPS伺服器部署成功了。

說明:curl的-k選項會允許curl執行不安全的SSL連線和資料傳輸,使用-k選項時,客戶端將不再檢查“簽署https server身份證的CA身份證”。所以,前面的curl測試命令也可以換成如下命令:

curl https://192.168.213.133:4443/  --cert cassl/client-crt.pem --key cassl/client-key.pem --cacert cassl/ca-crt.pem

上述的curl命令中添加了“--cacert”選項,去掉了“-k”選項。該命令的執行結果如下:


客戶端的終端中出現了上述資訊,說明雙向身份驗證的HTTPS伺服器部署成功了。

相關推薦

使用libevhtp搭建HTTPS SERVER雙向驗證身份

本文主要介紹使用libevhtp搭建一個HTTPS SERVER的方法,非加密的HTTP SERVER搭建方法,請點選此處 (本文的構建環境繼承自該部落格)。本文將針對“雙向驗證身份”場景,介紹HTTPS SERVER的搭建方法。“單向驗證身份”的場景,請點選此處。1. 雙向

使用libevhtp搭建HTTPS SERVER單向驗證身份

本文主要介紹使用libevhtp搭建一個HTTPS SERVER的方法,非加密的HTTP SERVER搭建方法,請點選此處 (本文的構建環境繼承自該部落格)。本文將針對“單向驗證身份”場景,介紹HTTPS SERVER的搭建方法。“雙向驗證身份”的場景,請點選此處。1. 單向

團隊合作---使用Gitblit在Windows下搭建Git ServerHTTP

用過Git之後再使用Svn是很頭疼的事情 於是就讓向老大要了一塊Windows伺服器的地址空間,來搭建Git Server 一、下載Gitblit 二、下載完解壓 (1)解壓之後我的gitblit檔案的路徑: D:\gitblitserver\gitb

【Pytorch-入門】windows下的環境搭建驗證成功~

自動 檢查 create span -- nump .cn otl type 前言 實驗需要,之前使的tensorflow【因為自己手邊的服務器都是windows環境TT...】,但身邊的師兄們用的都是pytorch,自己查了查現在做科研基本上都是用的pytorch,而且

小程式server- 搭建HTTPS server

一.使用 Node 和 Express 搭建一個 HTTP 伺服器 1.在app.js修改小程式通訊域名 App({ config: { host: '' // 這個地方填寫你的域名 }, onLaunch () {

golang https server

之前的blog介紹了https的單向認證流程,這裡再介紹一下雙向認證的過程。人多人沒有理解雙向認證的過程,這裡先介紹一下認證流程 這裡的ca證書其實是可以不一樣的,這是很多人的誤區,服務端證書用服務端的ca簽名過後,客戶端應該用服務的ca去認證,而不是客戶

移動端搭建Http Server—— 實現URL路由模組

在前面幾篇文章中已經實現了移動端Server的關鍵前兩步:監聽遠端連線和解析HTTP Headers中的資料,本文將要設計一下路由規則 1.URL路由規則 簡單來講就是客戶端請求一個URL,伺服器分發給哪個服務來處理 移動端Server要實現兩個功能:

使用虛擬機器VM從零搭建Linux serverJdk1.6+tomcat7+MySQL5.5

筆者是在win7系統上安裝了一臺虛擬機器VMware6,然後再在虛擬機器上用映象檔案安裝了Linux redhat-5-server-i386,最後在此Linux系統上 完成了 Jdk,tomcat,MySQL的安裝。 - 1、虛擬機器VMware6的安裝

Nodejs 搭建https伺服器

$ cd /Users/51testing/Desktop/https   $ express HttpsService ....    install dependencies:       $ cd HttpsService && npm insta

php通過curl擴展進行模擬登錄驗證

程序 valid 做的 .cn ica ews fclose har user 以下為本人工作中遇到的需要做的事情,之前也沒怎麽用過curl,查了好多資料,才稍微弄明白一點;本文所有內容只是自己平日工作的記錄,僅供大家參考:<?php/*** 模擬登錄*/head

圖像識別練習flash驗證

探討 野比 2012由於破解可能給他人帶來困擾,所以我只說大概的思路,不會提供源碼。-----------------本次目標是www.iboling.com的flash驗證碼。這個網站很新穎,用的是flash動畫,隨機給出大小球,然後讓用戶用鼠標點擊相應的球,實現驗證碼輸入。像這樣本來這是個很不錯的思路,跳

50行python代碼實現個代理server你懂的

try sel -m 轉發 size sso ddr bin input 之前遇到一個場景是這種: 我在自己的電腦上須要用mongodb圖形client,可是mongodb的server地址沒有對外網開放,僅僅能通過先登錄主機A,然後再從A連接mongodbserver

新手玩個人server阿裏雲續二

ria pause 管理 debug timeout yum directory eth http 小二班一番廝殺:那英四強誕生:大家閨秀,小家碧玉。窈窕淑女,妍姿俊俏 。不解釋!?不行!陳冰,李嘉格,劉明湘。張碧晨。大多數的時候,僅僅要

Uva 12657 移動盒子雙向鏈表

can swap i++ 來看 ont 第一個 編號 bit wap 題意: 你有一行盒子,從左到右依次編號為1, 2, 3,…, n。可以執行以下4種指令:1 X Y表示把盒子X移動到盒子Y左邊(如果X已經在Y的左邊則忽略此指令)。2 X Y表示把盒子X移動到盒子Y右邊(

【Quartz】Quartz的搭建、應用單獨使用Quartz

文章 sgd aca guide mfc uci strong div guid 原文:http://www.cnblogs.com/nick-huang/p/4848843.html 目錄 1. > 參考的優秀資料 2. > 版本說明 3. > 簡單的

NOIP2002 字串變換題解雙向搜索

操作 exit empty 數據 turn int open oid def 65. [NOIP2002] 字串變換 時間限制:1 s 內存限制:128 MB [問題描述] 已知有兩個字串A$, B$及一組字串變換的規則(至多6個規則): A1$ -> B1$ A

ZooKeeper動態增加Server動態增加節點的研究待實踐

leader linux nod 部署 them user ase 通過 增加節點 說明:是動態增加Server,不是動態增加連接到ZK Server的Client。 場景如下(轉自外文): 1、在t=t_1->[peer-1(Leader),peer-2],pe

在centos上搭建JavaWeb環境jdk+mysql+tomcat

pass .tar.gz wget https ins img min span ice 1.安裝OpenJDK yum list java* yum install java-1.7.0-openjdk* -y java -version 2.安裝Tomcat cd

SMM框架的搭建和測試Spring MVC+MyBatis

meta true model spa const -i ssp pan div Spring MVC:MVC框架,通過Model-View-Controller模式很好的將數據,業務與展現進行分離。 MyBatis:數據持久層框架 我這裏使用的是MyEclipse 2

SSH框架的搭建和測試Spring + Struts2 + Hibernate

conf work fault 項目 -i extends struts2 scrip map SSH框架實現了視圖、控制器、和模型的徹底分離,同時還實現了業務邏輯層與持久層的分離。 Spring實現了MVC中的 Controller的功能,Struts實現Web視圖的功能