【问题标题】:Verify client certificate using SSLServer in Ruby在 Ruby 中使用 SSLServer 验证客户端证书
【发布时间】:2011-10-12 04:56:08
【问题描述】:

这是我用来设置服务器的代码:

require 'socket'
require 'openssl'

socket = TCPServer.new('127.0.0.1', 4433)

ssl_context = OpenSSL::SSL::SSLContext.new()
ssl_context.cert = OpenSSL::X509::Certificate.new(File.open("ssl/server/server.crt"))
ssl_context.key = OpenSSL::PKey::RSA.new(File.open("ssl/server/server.key"))

ca_cert = OpenSSL::X509::Certificate.new(File.open("ssl/ca/ca.crt"))

ssl_socket = OpenSSL::SSL::SSLServer.new(socket, ssl_context)

Thread.start(ssl_socket.accept) do |s|
    puts "Connected to #{s.peeraddr.last}"

    if s.peer_cert.verify(ca_cert.public_key)
        puts "Certificate verified"
    else
        puts "Certificate invalid"
    end
end

还有客户:

require 'socket'
require 'openssl'

socket = TCPSocket.new('127.0.0.1', 4433)

ssl_context = OpenSSL::SSL::SSLContext.new
ssl_context.cert = OpenSSL::X509::Certificate.new(File.open("ssl/client1/client1.crt"))
ssl_context.key = OpenSSL::PKey::RSA.new(File.open("ssl/client1/client1.key"))

ssl_socket = OpenSSL::SSL::SSLSocket.new(socket, ssl_context)

ca_cert = OpenSSL::X509::Certificate.new(File.open("ssl/ca/ca.crt"))

ssl_socket.connect

if ssl_socket.peer_cert.verify(ca_cert.public_key)
    puts "Certificate checks out"
else
    puts "Certificate not verified"
end

但是,当服务器试图获取它找不到的 peer_cert 时,它会抛出异常。有没有办法让 SSLServer 期待客户端证书?

【问题讨论】:

    标签: ruby ssl client certificate


    【解决方案1】:

    OpenSSL::SSL 的测试中查看test_client_authstart_server

    在我看来,您的代码中唯一缺少的是您忘记在服务器端明确要求客户端身份验证 - 设置标志组合很重要

    flags = OpenSSL::SSL::VERIFY_PEER|OpenSSL::SSL::VERIFY_FAIL_IF_NO_PEER_CERT
    ctx.verify_mode = flags
    

    这样服务器将真正要求客户端身份验证,而不是静默接受未经身份验证的请求。如果您不设置这些,服务器将很高兴无需请求客户端身份验证,因此也将没有可用的对等证书。

    【讨论】:

    • VERIFY_PEER是否也意味着问题中的手动验证现在不需要了?
    猜你喜欢
    • 2012-02-23
    • 2018-10-15
    • 1970-01-01
    • 1970-01-01
    • 2023-03-03
    • 2014-04-04
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多