最近一直在研究C++访问java写的https的网站的程序,由于本人对证书的知识知道比较少,进展的特别慢,其中也查了不少资料关于证书的。证书类型这里写从别人的blog里摘的地址没记住转一点了。
PKCS 全称是 Public-Key Cryptography Standards ,是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准,PKCS 目前共发布过 15 个标准。 常用的有:PKCS#7 Cryptographic Message Syntax StandardPKCS#10 Certification Request StandardPKCS#12 Personal Information Exchange Syntax StandardX.509是常见通用的证书格式。所有的证书都符合为Public Key Infrastructure (PKI) 制定的 ITU-T X509 国际标准。PKCS#7 常用的后缀是: .P7B .P7C .SPCPKCS#12 常用的后缀有: .P12 .PFXX.509 DER 编码(ASCII)的后缀是: .DER .CER .CRTX.509 PAM 编码(Base64)的后缀是: .PEM .CER .CRT.cer/.crt是用于存放证书,它是2进制形式存放的,不含私钥。.pem跟crt/cer的区别是它以Ascii来表示。pfx/p12用于存放个人证书/私钥,他通常包含保护密码,2进制方式p10是证书请求p7r是CA对证书请求的回复,只用于导入p7b以树状展示证书链(certificate chain),同时也支持单个证书,不含私钥。
由于我们是分开来做的,我做c++的,同事做java的。java服务给我们一个keystore类型的证书和一个crt的证书。
我开始测试的代码如下,简单的说就是使用wininet进行实现。
代码是在codeproject上下载的地址http://u.115.com/file/f3f67596a8#SSLConnection.rar我存到网盘上了
源地址
http://www.codeproject.com/KB/IP/wininet_ssl___certificate.aspx 这个能访问https类型的网址,类似公网上的google邮箱,但是不能访问自己私有证书写的web服务,苦恼。 后来怀疑是证书问题,又通过 http://www.blogjava.net/alwayscy/archive/2006/12/01/84852.html http://www.blogjava.net/alwayscy/archive/2009/02/03/85161.html (在这里谢谢这个博主的作者了,非常感谢)通过openssl制作了一个证书,用上面的代码测试还是有问题。继续苦恼。 后来看了一些openssl便用openssl的库进行测试发现成功了。具体的也说不清楚了,我把openssl的地址和源代码地址都贴出来。如果有不对的请高手指点了。 openssl的下载地址 http://u.115.com/file/f3396b0792#Openssl0.98g_lib_ARMV4_dll.zip 源码的下载地址 http://u.115.com/file/f3f2af0880#SSLServer.rar 如果无法下载了,可以直接发邮件到 shangwei97@163.com.希望明白的同学帮忙修改的晚上,我现在只是做了一测试。由于过年放假了,很难抽出整块时间整理了。先简单的写一些了。 贴出来大部分源码,也是从网上下载的,做了一些修改 /***************************************************************** *SSL/TLS客户端程序WIN32版(以demos/cli.cpp为基础) *需要用到动态连接库libeay32.dll,ssleay.dll, *同时在setting中加入ws2_32.lib libeay32.lib ssleay32.lib, *以上库文件在编译openssl后可在out32dll目录下找到, *所需证书文件请参照文章自行生成*/ //*****************************************************************/ #include "stdafx.h" #include <stdio.h> #include <stdlib.h> #include <memory.h> #include <errno.h> #include <sys/types.h> #include <winsock2.h> #include "openssl/rsa.h" #include "openssl/crypto.h" #include "openssl/x509.h" #include "openssl/pem.h" #include "openssl/ssl.h" #include "openssl/err.h" #include "openssl/rand.h" #pragma comment(lib, "libeay32.lib") #pragma comment(lib, "ssleay32.lib") #pragma comment(lib, "ws2_32.lib") //ws2_32.lib libeay32.lib ssleay32.lib /*所有需要的参数信息都在此处以#define的形式提供*/ #define CERTF "client.csr" /*客户端的证书(需经CA签名).crt*/ #define KEYF "client.key" /*客户端的私钥(建议加密存储)*/ #define CACERT "ca.crt" /*CA 的证书*/ #define PORT 9002 /*服务端的端口*/ #define SERVER_ADDR "127.0.0.1" /*服务段的IP地址*/ #define CHK_NULL(x) if ((x)==NULL) exit (-1) #define CHK_ERR(err,s) if ((err)==-1) { perror(s); exit(-2); } #define CHK_SSL(err) if ((err)==-1) { ERR_print_errors_fp(stderr); exit(-3); } int main () { int err; int sd; struct sockaddr_in sa; SSL_CTX* ctx; SSL* ssl; X509* server_cert; char* str; char buf [4096]; SSL_METHOD *meth; int seed_int[100]; /*存放随机序列*/ WSADATA wsaData; if(WSAStartup(MAKEWORD(2,2),&wsaData) != 0) { printf("WSAStartup()fail:%d/n",GetLastError()); return -1; } OpenSSL_add_ssl_algorithms(); /*初始化*/ SSL_load_error_strings(); /*为打印调试信息作准备*/ meth = TLSv1_client_method(); /*采用什么协议(SSLv2/SSLv3/TLSv1)在此指定*/ ctx = SSL_CTX_new (meth); CHK_NULL(ctx); //SSL_CTX_set_verify(ctx,SSL_VERIFY_PEER,NULL); /*验证与否*/ //SSL_CTX_load_verify_locations(ctx,CACERT,NULL); /*若验证,则放置CA证书*/ //if (SSL_CTX_use_certificate_file(ctx, CERTF, SSL_FILETYPE_PEM) <= 0) //{ //ERR_print_errors_fp(stderr); //exit(-2); //} //if (SSL_CTX_use_PrivateKey_file(ctx, KEYF, SSL_FILETYPE_PEM) <= 0) //{ //ERR_print_errors_fp(stderr); //exit(-3); //} //if (!SSL_CTX_check_private_key(ctx)) //{ //printf("Private key does not match the certificate public key/n"); //exit(-4); //} /*构建随机数生成机制,WIN32平台必需*/ srand( (unsigned)time( NULL ) ); for( int i = 0; i < 100;i++ ) seed_int[i] = rand(); RAND_seed(seed_int, sizeof(seed_int)); /*以下是正常的TCP socket建立过程 .............................. */ printf("Begin tcp socket.../n"); sd = socket (AF_INET, SOCK_STREAM, 0); CHK_ERR(sd, "socket"); memset (&sa, '/0', sizeof(sa)); sa.sin_family = AF_INET; sa.sin_addr.s_addr = inet_addr (SERVER_ADDR); /* Server IP */ sa.sin_port = htons (PORT); /* Server Port number */ err = connect(sd, (struct sockaddr*) &sa, sizeof(sa)); CHK_ERR(err, "connect"); /* TCP 链接已建立.开始 SSL 握手过程.......................... */ printf("Begin SSL negotiation /n"); //system("pasue"); ssl = SSL_new (ctx); CHK_NULL(ssl); SSL_set_fd (ssl, sd); err = SSL_connect (ssl); CHK_SSL(err); /*打印所有加密算法的信息(可选)*/ printf ("SSL connection using %s/n", SSL_get_cipher (ssl)); /*得到服务端的证书并打印些信息(可选) */ server_cert = SSL_get_peer_certificate (ssl); CHK_NULL(server_cert); printf ("Server certificate:/n"); str = X509_NAME_oneline (X509_get_subject_name (server_cert),0,0); CHK_NULL(str); printf ("/t subject: %s/n", str); //free (str); str = X509_NAME_oneline (X509_get_issuer_name (server_cert),0,0); CHK_NULL(str); printf ("/t issuer: %s/n", str); //free (str); X509_free (server_cert); /*如不再需要,需将证书释放 */ /* 数据交换开始,用SSL_write,SSL_read代替write,read */ printf("Begin SSL data exchange/n"); err = SSL_write (ssl, "Knock/r/n", strlen("Knock/r/n")); CHK_SSL(err); err = SSL_read (ssl, buf, sizeof(buf) - 1); CHK_SSL(err); buf[err] = '/0'; printf ("Got %d chars:'%s'/n", err, buf); SSL_shutdown (ssl); /* send SSL/TLS close_notify */ /* 收尾工作 */ shutdown (sd,2); SSL_free (ssl); SSL_CTX_free (ctx); return 0; } /***************************************************************** * EOF - cli.cpp *****************************************************************/