ssl - Lua:如何在使用 LuaSec 成功进行客户端身份验证后获取客户端详细信息

Question

我正在使用 LuaSec 0.4 中的默认“oneshot”示例(见下文)来实现双向身份验证。身份验证成功，因此显然证书颁发机构 (CA) 承认对等方是他们声称的身份。

但是我如何才能看到同行声称是谁？例如。如何检查对等证书的组织名称？因为尽管客户端现在可以相信服务器是 CA 已知的，但客户端不知道服务器是否真的是正确的对等方。
反之亦然:服务器知道 CA 知道连接客户端。但是很多客户端都是CA已知的，那服务器怎么知道连接的是哪个客户端呢？

-------- For the sake of completeness
-------  server code: 
require("socket")
require("ssl")
local params = {
   mode = "server",
   protocol = "sslv3",
   key = "../certs/serverAkey.pem",
   certificate = "../certs/serverA.pem",
   cafile = "../certs/rootA.pem",
   verify = {"peer", "fail_if_no_peer_cert"},
   options = {"all", "no_sslv2"},
}
-- SSL context
local ctx = assert(ssl.newcontext(params))

local server = socket.tcp()
server:setoption('reuseaddr', true)
assert( server:bind("127.0.0.1", 8888) )
server:listen()
local peer = server:accept()
-- SSL wrapper
peer = assert( ssl.wrap(peer, ctx) )
assert( peer:dohandshake() )

local fd = peer:getfd()
peer:send("oneshot test\n")
peer:close()

-------  client code:
require("socket")
require("ssl")
local params = {
   mode = "client",
   protocol = "sslv3",
   key = "../certs/clientAkey.pem",
   certificate = "../certs/clientA.pem",
   cafile = "../certs/rootA.pem",
   verify = {"peer", "fail_if_no_peer_cert"},
   options = {"all", "no_sslv2"},
}
local peer = socket.tcp()
peer:connect("127.0.0.1", 8888)
-- SSL wrapper
peer = assert( ssl.wrap(peer, params) )
assert(peer:dohandshake())
print(peer:receive("*l"))
peer:close()

Answer 1

从 0.4 开始，LuaSec 不提供用于检索/解码证书的 API。由于我们在 Prosody XMPP 服务器中使用 LuaSec，并且 XMPP 也可以使用 TLS+certs 进行身份验证，因此我们一直在对 LuaSec 进行黑客攻击以支持 API。

我们的工作尚未合并到上游，但希望很快就会合并。与此同时，您可以在这里找到它:http://code.matthewwild.co.uk/luasec-hg

获取远程实体的证书非常简单:

   cert = conn:getpeercertificate()

这将返回一个 X509 证书对象，其中包含各种方法，如 :subject()、:issuer() 和 :extensions()。

一些 API 可能会在我们完成代码时发生变化，但如果您有任何问题，请随时与我联系。