linux设备作为https服务端

搞了一两天的https服务端，终于流程的运行起来了。
大部分时间都是花在自签名证书上，找了很多文章，都是已失败告终。
最终借鉴大佬的文章，至此成功了百分之九十。
非常感谢。

我自己在整理下吧。

环境

Windows目前安装openssl在D:\Program Files\OpenSSL-Win64\bin路径
在bin目录下执行：

 mkdir -p demoCA/newcertstouch ./demoCA/index.txt ./demoCA/serialecho "01">> ./demoCA/serial

在签署证书之前需要确认openssl.cnf中的配置（放在存放位置，可以用-config 指定位置），如下所示：

#根据实际情况修改，将match改成optional，否则ca.crt必须与server.csr中的各个字段值一致才能签署
[ policy_match ]
countryName             = optional
stateOrProvinceName     = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional# 确保req下存在以下2行（默认第一行是有的，第2行被注释了）
[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req# 确保req_distinguished_name下没有 0.xxx 的标签，有的话把0.xxx的0. 去掉
[ req_distinguished_name ]
countryName                     = Country Name (2 letter code)
countryName_default             = XX
countryName_min                 = 2
countryName_max                 = 2
stateOrProvinceName             = State or Province Name (full name)
localityName                    = Locality Name (eg, city)
localityName_default            = Default City
organizationName                = Organization Name (eg, company)
organizationName_default        = Default Company Ltd
organizationalUnitName          = Organizational Unit Name (eg, section)
commonName                      = Common Name (eg, your name or your server\'s hostname)
commonName_max                  = 64
emailAddress                    = Email Address
emailAddress_max                = 64#添加一行subjectAltName=@alt_names
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName=@alt_names
#新增alt_names,注意括号前后的空格，DNS.x 的数量可以自己加
#如果没有IP这一项，浏览器使用IP访问时验证无法通过
#这个IP为我的linux设备IP
[ alt_names ]
IP.1 = 192.168.8.147
DNS.1 = dfe.leida.org
DNS.2 = ex.abcexpale.net

生成自签CA证书

生成CA私钥

openssl genrsa -out ca.key 2048

生成CA证书

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt -config openssl.cnf

注：
Common Name (e.g. server FQDN or YOUR name) []:ca.org 这边随便填就可以。
openssl.cnf的路径注意填对。最后在当前目录下生成的ca.key即为CA私钥，ca.crt即为CA证书（包含CA公钥）

生成服务器证书

生成服务器私钥

openssl genrsa -out server.key 2048

生成服务器签署申请文件

openssl req -new -out server.csr -key server.key -config openssl.cnf

注：
需要填写服务器信息，如实填写即可。需要注意Common Name 需要与openssl.cnf 中配置的域名相对应（alt_names），否则客户端无法验证。该命令最后生成的server.csr即为申请文件。

使用CA证书和私钥签署服务器证书

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -extensions v3_req -config openssl.cnf

注：
直接运行该签署命令，
创建完毕后，运行签署命令即可完成服务器证书的制作。当前目录下生成的server.crt即为服务器证书，server.key为服务器私钥

将证书导出成浏览器支持的.p12格式

openssl pkcs12 -export -clcerts -in ca.crt -inkey ca.key -out ca.p12
openssl pkcs12 -export -clcerts -in server.crt -inkey server.key -out server.p12

把server.p12安装到个人。ca.p12安装到受信任的根证书。
双击证书就可安装。
ca.crt和server.crt应该也要安装，这个还没有很清楚。目前我是都安装了。后续在测试看看。

经过验证，只需要安装server.p12和ca.p12两个证书就可以

使用浏览器测试https

SSL_accept报错问题；
SSL_get_peer_certificate获取不到证书问题；

需要增加这些，不然获取不到客户端证书。
// 双向验证 // SSL_VERIFY_PEER—要求对证书进行认证，没有证书也会放行 // SSL_VERIFY_FAIL_IF_NO_PEER_CERT—要求客户端需要提供证书，但验证发现单独使用没有证书也会放行
SSL_CTX_set_verify

//没设置这个会报错
//error:140D9115:SSL routines:SSL_GET_PREV_SESSION:session id context uninitialized
SSL_CTX_set_session_id_context

// 设置信任根证书
SSL_CTX_load_verify_locations

最后终于折腾上岸。

补充下代码部分

服务端和客户端c代码可参考
ssl_server.c程序设计

/*
参考链接：https://www.cnblogs.com/lsdb/p/9391979.html
执行命令：./server 7838 1 server.crt server.key ca.crt
*/
#include <stdio.h>
#include <stdlib.h>
#include <errno.h>
#include <string.h>
#include <sys/types.h>
#include <netinet/in.h>
#include <sys/socket.h>
#include <sys/wait.h>
#include <unistd.h>
#include <arpa/inet.h>
#include <openssl/ssl.h>
#include <openssl/err.h>#define OK 0
#define ERR 1#define MAXBUF 1024//进行证书认证并打印证书相关信息
//return:OK表示证书验证成功，ERR表示证书验证失败
int ShowCerts(SSL * ssl)
{X509 *cert;char *line;//获取证书并返回X509操作句柄cert = SSL_get_peer_certificate(ssl);// SSL_get_verify_result()是重点，SSL_CTX_set_verify()只是配置启不启用并没有执行认证，调用该函数才会真证进行证书认证// 如果验证不通过，那么程序抛出异常中止连接if(SSL_get_verify_result(ssl) == X509_V_OK){printf("收到client X509证书\n");}else{printf("未收到client X509证书\n");return ERR;}if (cert != NULL) {printf("client数字证书信息:\n");line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);printf("证书: %s\n", line);free(line);line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);printf("颁发者: %s\n\n", line);free(line);X509_free(cert);printf("对client证书验证通过!!!\n");} else{printf("无证书信息,对client证书验证失败!!!\n");return ERR;}return OK;
}int main(int argc, char **argv)
{int sockfd, new_fd;socklen_t len;struct sockaddr_in my_addr, their_addr;unsigned int myport, lisnum;char send_buf[MAXBUF + 1];char recv_buf[MAXBUF + 1];SSL_CTX *ctx;//判断参数个数是否正确if(argc != 6){printf("usage: %s ser_port lis_num ser_crt ser_key ca_crt\n",argv[0]);return -1;}//获取port端口号，如果没指定则default=7838if (argv[1])myport = atoi(argv[1]);elsemyport = 7838;//设置最大监听数量，如果没有指定则default=2if (argv[2])lisnum = atoi(argv[2]);elselisnum = 2;/**************************************第一步：OPENSSL初始化**********************************//* SSL 库初始化 */SSL_library_init();/* 载入所有 SSL 算法 */OpenSSL_add_all_algorithms();/* 载入所有 SSL 错误消息 */SSL_load_error_strings();/* 以 SSL V2 和 V3 标准兼容方式产生一个 SSL_CTX ，即 SSL Content Text */ctx = SSL_CTX_new(SSLv23_server_method());/* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 单独表示 V2 或 V3标准 */if (ctx == NULL) {ERR_print_errors_fp(stdout);exit(1);}// 双向验证// SSL_VERIFY_PEER---要求对证书进行认证，没有证书也会放行// SSL_VERIFY_FAIL_IF_NO_PEER_CERT---要求客户端需要提供证书，但验证发现单独使用没有证书也会放行SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER|SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);// 设置信任根证书if (SSL_CTX_load_verify_locations(ctx, argv[5],NULL)<=0){ERR_print_errors_fp(stdout);exit(1);}/* 载入用户的数字证书， 此证书用来发送给客户端。 证书里包含有公钥 */if (SSL_CTX_use_certificate_file(ctx, argv[3], SSL_FILETYPE_PEM) <= 0) {ERR_print_errors_fp(stdout);exit(1);}/* 载入用户私钥 */if (SSL_CTX_use_PrivateKey_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0) {ERR_print_errors_fp(stdout);exit(1);}/* 检查用户私钥是否正确 */if (!SSL_CTX_check_private_key(ctx)) {ERR_print_errors_fp(stdout);exit(1);}/**************************************第二步：普通socket建立连接*******************************//* 开启一个 socket 监听 */if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {perror("socket");exit(1);} elseprintf("socket created success!\n");bzero(&my_addr, sizeof(my_addr));my_addr.sin_family = PF_INET;my_addr.sin_port = htons(myport);my_addr.sin_addr.s_addr = INADDR_ANY;if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr))== -1) {perror("bind");exit(1);} elseprintf("binded success!\n");if (listen(sockfd, lisnum) == -1) {perror("listen");exit(1);} elseprintf("begin listen,waitting for client connect...\n");SSL *ssl;len = sizeof(struct sockaddr);/* 等待客户端连上来 */if ((new_fd = accept(sockfd, (struct sockaddr *) &their_addr, &len))== -1) {perror("accept");exit(errno);} elseprintf("server: got connection from %s, port %d, socket %d\n",inet_ntoa(their_addr.sin_addr), ntohs(their_addr.sin_port),new_fd);/**************************************第三步：将普通socket与SSL绑定，在SSL层建立连接*******************************//* 基于 ctx 产生一个新的 SSL */ssl = SSL_new(ctx);/* 将连接用户的 socket 加入到 SSL */SSL_set_fd(ssl, new_fd);/* 建立 SSL 连接 */if (SSL_accept(ssl) == -1) {perror("accept");printf("SSL 连接失败!\n");close(new_fd);goto end;}/**************************************第四步：验证client客户端的证书*******************************/if(ShowCerts(ssl) == ERR)goto end;/**************************************第五步：https进行收发数据*******************************/while(1){   /* SSL_read接收客户端的消息 */printf("等待客户端发送过来的消息：\n");len = SSL_read(ssl, recv_buf, MAXBUF);if (len > 0)printf("接收client消息成功:'%s'，共%d个字节的数据\n", recv_buf, len);else{printf("消息接收失败！错误代码是%d，错误信息是'%s'\n",errno, strerror(errno));break;          //退出通信}memset(recv_buf,0,sizeof(recv_buf));   //清空接收缓存区/* SSL_write发消息给客户端 */printf("请输入要发送给客户端的内容：\n");scanf("%s",send_buf);if(!strncmp(send_buf,"+++",3))break;    //收到+++表示退出len = SSL_write(ssl, send_buf, strlen(send_buf));if (len <= 0) {printf("消息'%s'发送失败！错误代码是%d，错误信息是'%s'\n", send_buf, errno,strerror(errno));break;} elseprintf("消息'%s'发送成功，共发送了%d个字节！\n", send_buf, len);memset(send_buf,0,sizeof(send_buf));   //清空接收缓存区}/**************************************第六步：关闭连接及资源清理*******************************//* 处理每个新连接上的数据收发结束 */
end:/* 关闭 SSL 连接 */SSL_shutdown(ssl);/* 释放 SSL */SSL_free(ssl);/* 关闭 socket */close(new_fd);/* 关闭监听的 socket */close(sockfd);/* 释放 CTX */SSL_CTX_free(ctx);return 0;
}

ssl_client.c程序设计

/*
参考链接：https://www.cnblogs.com/lsdb/p/9391979.html
执行命令：./client 127.0.0.1 7838 client.crt client.key ca.crt
*/
#include <stdio.h>
#include <string.h>
#include <errno.h>
#include <sys/socket.h>
#include <resolv.h>
#include <stdlib.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <unistd.h>
#include <openssl/ssl.h>
#include <openssl/err.h>#define OK 0
#define ERR 1#define MAXBUF 1024#define CACERT "ca.crt"       //定义CA根证书存放路径//进行证书认证并打印证书相关信息
//return:OK表示证书验证成功，ERR表示证书验证失败
int ShowCerts(SSL * ssl)
{X509 *cert;char *line;cert = SSL_get_peer_certificate(ssl);// SSL_get_verify_result()是重点，SSL_CTX_set_verify()只是配置启不启用并没有执行认证，调用该函数才会真证进行证书认证// 如果验证不通过，那么程序抛出异常中止连接if(SSL_get_verify_result(ssl) == X509_V_OK){printf("收到server X509证书\n");}else{printf("未收到server X509证书\n");return ERR;}if (cert != NULL) {printf("server数字证书信息:\n");line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);printf("证书: %s\n", line);free(line);line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);printf("颁发者: %s\n\n", line);free(line);X509_free(cert);printf("对server证书验证通过!!!\n");} else{printf("无证书信息,对server证书验证失败!!!\n");return ERR;}return OK;
}int main(int argc, char **argv)
{int sockfd, len;struct sockaddr_in dest;char send_buffer[MAXBUF + 1];char recv_buffer[MAXBUF + 1];SSL_CTX *ctx;SSL *ssl;//判断参数个数是否正确if(argc != 6){printf("usage: %s ser_ip ser_port cli_crt cli_key ca_crt\n",argv[0]);return -1;}// if (argc != 5) {// printf("参数格式错误！正确用法如下：\n\t\t%s IP地址 端口\n\t比如:\t%s 127.0.0.1 80\n此程序用来从某个"// "IP 地址的服务器某个端口接收最多 MAXBUF 个字节的消息",// argv[0], argv[0]);// exit(0);// }/**************************************第一步：OPENSSL初始化**********************************//* SSL 库初始化，参看 ssl-server.c 代码 */SSL_library_init();OpenSSL_add_all_algorithms();SSL_load_error_strings();ctx = SSL_CTX_new(SSLv23_client_method());if (ctx == NULL) {ERR_print_errors_fp(stdout);exit(1);}// 双向验证// SSL_VERIFY_PEER---要求对证书进行认证，没有证书也会放行// SSL_VERIFY_FAIL_IF_NO_PEER_CERT---要求客户端需要提供证书，但验证发现单独使用没有证书也会放行SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER|SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);// 设置信任根证书if (SSL_CTX_load_verify_locations(ctx, argv[5],NULL)<=0){ERR_print_errors_fp(stdout);exit(1);}/* 载入用户的数字证书， 此证书用来发送给客户端。 证书里包含有公钥 */if (SSL_CTX_use_certificate_file(ctx, argv[3], SSL_FILETYPE_PEM) <= 0) {ERR_print_errors_fp(stdout);exit(1);}/* 载入用户私钥 */if (SSL_CTX_use_PrivateKey_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0) {ERR_print_errors_fp(stdout);exit(1);}/* 检查用户私钥是否正确 */if (!SSL_CTX_check_private_key(ctx)) {ERR_print_errors_fp(stdout);exit(1);}/**************************************第二步：普通socket建立连接*******************************//* 创建一个 socket 用于 tcp 通信 */if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {perror("Socket");exit(errno);}printf("socket created success!\n");/* 初始化服务器端（对方）的地址和端口信息 */bzero(&dest, sizeof(dest));dest.sin_family = AF_INET;dest.sin_port = htons(atoi(argv[2]));if (inet_aton(argv[1], (struct in_addr *) &dest.sin_addr.s_addr) == 0) {perror(argv[1]);exit(errno);}printf("address created success!\n");/* 连接服务器 */if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {perror("Connect ");exit(errno);}printf("server connected  success!\n");/**************************************第三步：将普通socket与SSL绑定，在SSL层建立连接*******************************//* 基于 ctx 产生一个新的 SSL */ssl = SSL_new(ctx);SSL_set_fd(ssl, sockfd);/* 建立 SSL 连接 */if (SSL_connect(ssl) == -1){ERR_print_errors_fp(stderr);printf("SSL 连接失败!\n");goto end;}else {printf("Connected with %s encryption\n", SSL_get_cipher(ssl));/**************************************第四步：验证server服务端的证书*******************************/if(ShowCerts(ssl) == ERR)goto end;}/**************************************第五步：https进行收发数据*******************************///下面客户端和服务器互相收发while(1){//使用SSL_write函数发送数据printf("请输入要发送给服务器的内容：\n");scanf("%s",send_buffer);if(!strncmp(send_buffer,"+++",3))break;    //收到+++表示退出/* 发消息给服务器 */len = SSL_write(ssl, send_buffer, strlen(send_buffer));if (len < 0)printf("消息'%s'发送失败！错误代码是%d，错误信息是'%s'\n",send_buffer, errno, strerror(errno));elseprintf("消息'%s'发送成功，共发送了%d个字节！\n",send_buffer, len);memset(send_buffer,0,sizeof(send_buffer));   //清空接收缓存区/* 使用SSL_read函数接收数据，接收对方发过来的消息，最多接收 MAXBUF 个字节 */len = SSL_read(ssl, recv_buffer, MAXBUF);if (len > 0)printf("接收消息成功:'%s'，共%d个字节的数据\n",recv_buffer, len);else {printf("消息接收失败！错误代码是%d，错误信息是'%s'\n",errno, strerror(errno));break;}memset(recv_buffer,0,sizeof(recv_buffer));   //清空接收缓存区}  /**************************************第六步：关闭连接及资源清理*******************************/
end:/* 关闭连接 */SSL_shutdown(ssl);SSL_free(ssl);close(sockfd);SSL_CTX_free(ctx);return 0;
}

1.首先确保openssl工具安装成功。
2.编译：

gcc ssl_server.c -o server -lssl -lcrypto -ldl -lcurses
gcc ssl_client.c -o client -lssl -lcrypto -ldl -lcurses

注上面编译得看openssl库的路径，如存放在/usr/lib下，

gcc ssl_server.c -o server -L/usr/lib/ -lssl -lcrypto -ldl -lcurses
gcc ssl_client.c -o client -L/usr/lib/ -lssl -lcrypto -ldl -lcurses

3.server服务端运行：

./server 7838 1 server.crt server.key ca.crt

其中7838表示server的端口号；1表示socket listen的数量；server.crt表示server证书存放路径；server.key表示server私钥存放路径；ca.crt表示CA根证书存放路径。

4.client客户端运行：

./client 127.0.0.1 7838 client.crt client.key ca.crt

其中127.0.0.1表示server的ip地址；7838表示server的端口号；client.crt表示client证书存放路径；client.key表示client私钥存放路径；ca.crt表示CA根证书存放路径。

5.执行结果
server端：

client端：

2022.04.18更新下

这样的话可以直接登录，不需要再电脑安装证书，只不过显示不安全。
把ca.crt安装到电脑的“受信任的根证书颁发机构”可以变为安全。