最近在研究https服务，说实话事情太多（零信任sdp落地问题），我非常不喜欢这种状态，但是当下又无能为力，只能走一步看一步。压力太大 ，有时候啥也不干，放空自己，也算是一种减压~

说回正题，仅仅学习了一点皮毛，所以记录如下，证明曾经有过，哪怕只是一点皮毛，首先是基于openssl 生成证书，然后基于python3 实现ssl服务端和ssl客户端的通信~

本来我是打算用java来做这个案例的，但是实践发现python更加方便，所以就直接采用python来构建这个ssl 服务了~

说实话，这已经不是我第一次感觉python的便利了，前几周在做URL解析的时候，调研了一圈java都没有现成的库，python一个import urlparse直接完美搞定~

ailx10

网络安全优秀回答者

网络安全硕士

去咨询

一、openssl证书[1]

做这个实验，首先需要自己生成证书，虽然已经毕业好多年了，很多东西都忘记了，但是照葫芦画瓢，还是很快的搞定了证书问题~

话说读研的时候，web安全第一节实验课，就是自己搭建一个https网站，虽然好多东西不记得了，但是科班出身，该有的自信还是有的~

第一步：CA证书及密钥生成

openssl genrsa -aes256 -passout pass:123456 -out ca_rsa_private.pem 2048
openssl req -new -x509 -days 365 -key ca_rsa_private.pem -passin pass:123456 -out ca.crt -subj "/C=CN/ST=GD/L=SZ/O=COM/OU=NSP/CN=CA/emailAddress=ailx10@qq.com"

得到掉落物品

ca.crt  
ca_rsa_private.pem

可能会出现下面这样的错误

error:2406F079:random number generator:RAND_load_file:Cannot open file:../crypto/rand/randfile.c:88:Filename=/root/.rnd

解决方法很简单

cd /root
openssl rand -writerand .rnd

第二步：服务器证书及密钥生成

openssl genrsa -aes256 -passout pass:server -out server_rsa_private.pem 2048
openssl req -new -key server_rsa_private.pem -passin pass:server -out server.csr -subj "/C=CN/ST=GD/L=SZ/O=COM/OU=NSP/CN=SERVER/emailAddress=ailx10@qq.com"

掉落物品

server.csr  
server_rsa_private.pem

使用CA证书及密钥，对服务器证书进行签名

openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca_rsa_private.pem -passin pass:123456 -CAcreateserial -out server.crt

掉落物品

ca.srl  
server.crt 

将加密的RSA密钥转成未加密的RSA密钥

openssl rsa -in server_rsa_private.pem -out server_rsa_private.pem.unsecure

掉落物品

server_rsa_private.pem.unsecure

第三步：客户端证书及密钥生成

openssl genrsa -aes256 -passout pass:client -out client_rsa_private.pem 2048
openssl req -new -key client_rsa_private.pem -passin pass:client -out client.csr -subj "/C=CN/ST=GD/L=SZ/O=COM/OU=NSP/CN=CLIENT/emailAddress=ailx10@qq.com"

掉落物品

client.csr  
client_rsa_private.pem

使用CA证书及密钥，对客户端证书进行签名

openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca_rsa_private.pem -passin pass:123456 -CAcreateserial -out client.crt

掉落物品

client.crt

二、基于openssl实现https服务[2]

在hosts文件中添加

127.0.0.1 server

将证书拷贝到pycharm代码目录中

实际上，我的最终目的是研究SSL的运行原理的鹅，由于时间关系，这里仅仅给出SSL的运行案例，分析以后单独进行，哈哈哈~

服务端代码

# -*- coding: utf-8 -*-
"""
@Time ： 2021/3/8 22:42
@Auth ： ailx10
@File ：myServer.py
@IDE ：PyCharm
"""
import socket
import ssl

class server_ssl:
    def build_listen(self):
        # 生成SSL上下文
        context = ssl.SSLContext(ssl.PROTOCOL_TLS_SERVER)
        # 加载服务器所用证书和私钥
        context.load_cert_chain('cert/server.crt', 'cert/server_rsa_private.pem.unsecure')

        # 监听端口
        with socket.socket(socket.AF_INET, socket.SOCK_STREAM, 0) as sock:
            sock.bind(('server', 9443))
            sock.listen(5)
            # 将socket打包成SSL socket
            with context.wrap_socket(sock, server_side=True) as ssock:
                while True:
                    # 接收客户端连接
                    client_socket, addr = ssock.accept()
                    # 接收客户端信息
                    msg = client_socket.recv(1024).decode("utf-8")
                    print(f"receive msg from client {addr}：{msg}")
                    # 向客户端发送信息
                    msg = f"yes , you have client_socketect with server.\r\n".encode("utf-8")
                    client_socket.send(msg)
                    client_socket.close()

if __name__ == "__main__":
    server = server_ssl()
    server.build_listen()

客户端代码

# -*- coding: utf-8 -*-
"""
@Time ： 2021/3/8 22:43
@Auth ： ailx10
@File ：myClient.py
@IDE ：PyCharm
"""

import socket
import ssl

class client_ssl:
    def send_hello(self,):
        # 生成SSL上下文
        context = ssl.SSLContext(ssl.PROTOCOL_TLS_CLIENT)
        # 加载信任根证书
        context.load_verify_locations('cert/ca.crt')

        # 与服务端建立socket连接
        with socket.create_connection(('server', 9443)) as sock:
            # 将socket打包成SSL socket
            # 一定要注意的是这里的server_hostname不是指服务端IP，而是指服务端证书中设置的CN，我这里正好设置成127.0.1而已
            with context.wrap_socket(sock, server_hostname='server') as ssock:
                # 向服务端发送信息
                msg = "do i connect with server ?".encode("utf-8")
                ssock.send(msg)
                # 接收服务端返回的信息
                msg = ssock.recv(1024).decode("utf-8")
                print(f"receive msg from server : {msg}")
                ssock.close()

if __name__ == "__main__":
    client = client_ssl()
    client.send_hello()

服务端运行结果

客户端运行结果

本篇完，谢谢大家~

发布于 2021-03-08 23:07 （知乎）