c++ - SSL 证书，不通过 thrift 进行身份验证，但可以通过浏览器进行身份验证

Question

这就是我生成 SSL 证书、 key 等的方式:

openssl genrsa -out server.key 1024
openssl rsa -in server.key -out new_key.pem
openssl req -new -key server.key -out server.csr
openssl x509 -req -days 10000 -in server.csr -signkey new_key.pem -out server.crt

这有效，我可以在 chrome 中看到输出，尽管我收到警告说我会首先感染病毒。

openssl s_server -cert server.crt -www -key new_key.pem

这是来自服务器的片段。老实说，我不确定每一行到底在做什么，但我有一个好主意:

socketFactory->server(true); // this is the server
socketFactory->authenticate(false); // no auth?
socketFactory->loadCertificate("server.crt"); 
socketFactory->loadPrivateKey("new_key.pem");

客户:

socketFactory->loadTrustedCertificates("server.crt");
socketFactory->authenticate(true); //auth? wierd, right? This guy does this:[1]

[1] http://permalink.gmane.org/gmane.comp.lib.thrift.user/1651

如果我在客户端中注释掉 loadTrustedCertificates，那么我会得到一个 SSL 未验证证书异常。保留该行后，我得到一个身份验证失败异常。

这里有 2 个更长的代码片段，可以更好地理解上述片段。
服务器:

shared_ptr<SkullduggeryHandler> handler(new SkullduggeryHandler());
shared_ptr<TBufferedTransportFactory> transportFactory =
        shared_ptr<TBufferedTransportFactory>(new TBufferedTransportFactory());
shared_ptr<TProtocolFactory> protocolFactory(new TBinaryProtocolFactory());
shared_ptr<TProcessor> processor(new SkullduggeryProcessor(handler));
shared_ptr<TSSLSocketFactory> socketFactory = 
      shared_ptr<TSSLSocketFactory>(new TSSLSocketFactory());
socketFactory->server(true);
socketFactory->authenticate(false);
socketFactory->loadCertificate("server.crt");
socketFactory->loadPrivateKey("new_key.pem");
shared_ptr<TSSLServerSocket> socket(new TSSLServerSocket(port, socketFactory));
TThreadedServer server(processor,
                               socket,
                               transportFactory,
                               protocolFactory);
server.serve();

客户:

shared_ptr <TSSLSocketFactory> socketFactory = shared_ptr<TSSLSocketFactory>(new TSSLSocketFactory());
socketFactory->loadTrustedCertificates("server.crt");
socketFactory->authenticate(false);
shared_ptr <TSSLSocket>socket = socketFactory->createSocket(configuration.ip, configuration.port);
shared_ptr<TBufferedTransport> transport(new TBufferedTransport(socket));
shared_ptr<TProtocol> protocol(new TBinaryProtocol(transport));
SkullduggeryClient client(protocol);
transport->open();

感谢您花时间阅读本文。如果有明显的错误，我会很高兴听到它。长期以来，这一直是我生存的祸根。太长了。

Answer 1

看起来您正在生成自签名证书(这很好)，但是您使用 openssl 实用程序进行的操作令人困惑。

第一行OK，生成私钥。
第 2 行没用:输出键与输入键相同! (尝试diff这两个键来查看)。
第 3 行生成一个 CSR，第 4 行实际上对其进行自签名，因此我们将看到它们可以合并在一行中。

现在，让我们退后一步，试着理解我们在做什么:-)

您正在使用 SSL 对 Thrift 服务器和 Thrift 客户端之间的通信进行身份验证和加密。我假设你想要两者:

1. 保护客户端免受流氓服务器的侵害(您的代码试图做的事情)
2. 保护服务器免受流氓客户端的侵害(这对我来说似乎更重要)。

打个 HTTPS 的比方，(1) 是经典的服务器证书，(2) 通常是用户的用户名/密码。但是使用 Thrift SSL，我们也将通过向客户端颁发证书来获得相互身份验证。

我将制作的示例将使用自签名证书。它们可以很容易地适应由 openssl 管理的迷你 CA，我将其作为练习留给读者。

生成服务器私钥:
openssl genrsa -out server-key.pem 2048

生成关联的公钥并自签名:
openssl req -new -x509 -key server-key.pem -out server-cert.pem -days 10000

生成客户端私钥:
openssl genrsa -out client-key.pem 2048

生成关联的公钥并自签名:
openssl req -new -x509 -key client-key.pem -out client-cert.pem -days 10000

注意:当openssl req 要求"Common Name (e.g. server FQDN or YOUR name)" 时，输入运行 Thrift 程序的主机的 FQDN .这将允许不自定义 Thrift 的 AccessManager 类。另一方面，如果无法提前知道 FQDN，则需要继承 AccessManager 并相应地覆盖 verify() 方法。请参阅 TSSLSocket.cpp。

很好，现在开始编写代码。

在服务器端:

socketFactory->server(true); 多余，去掉。

socketFactory->authenticate(false) 有点误导。更好的名称应该是 authenticatePeer。如果你说 false，它不会对客户端进行身份验证，但我们在需要相互身份验证之前就已经决定了。

因此，服务器的 SSL 序言是:

try {
    signal(SIGPIPE, SIG_IGN); // See README.SSL
    shared_ptr<TSSLSocketFactory> sslSocketFactory(new TSSLSocketFactory());
    sslSocketFactory->loadPrivateKey(myKey);
    sslSocketFactory->loadCertificate(myCert);
    sslSocketFactory->authenticate(true);
    sslSocketFactory->loadTrustedCertificates(trustedCerts);
    sslSocketFactory->ciphers("HIGH:!DSS:!aNULL@STRENGTH");
    ...
    } catch (TException& tx) {
        ....
    }

其中myKey是server-key.pem，myCert是server-cert.pem和trustedCerts 是……受信任 CA 的证书，或者在自签名证书的情况下，是客户端的证书。您可以在同一个文件中一个接一个地cat 多个证书。在我们的示例中，我们将放置我们之前创建的 client-cert.pem。

客户端的 SSL 序言完全相同，具有正确的客户端私钥、客户端证书，对于 trustedCerts，还有对等方的证书:server-cert.pem 我们之前创建的。

就这些:-) 在开始编写代码之前尝试理解，如果您不清楚 SSL(相互)身份验证的工作原理，则很难理解错误消息。我展示的代码已经过测试可以正常工作。

文档方面，不幸的是 Thrift 几乎没有。对于 SSL，您可以查看:lib/cpp/README.SSL、test/cpp/src/TestServer.cpp 和 test/cpp/src/TestClient。 cpp。请注意，TestServer.cpp 不进行相互身份验证，恕我直言，这是一个错误。