gpt4 book ai didi

delphi - 用于在Intraweb VCL中使https工作的pem文件对于Web

转载 作者:太空宇宙 更新时间:2023-11-03 13:05:34 24 4
gpt4 key购买 nike

我正在研究SSLCustomIOHandler Intraweb示例,以弄清楚使Intraweb独立Web服务器能够在https中工作。

该示例使用3个.pem文件:
基本上,使用文件的代码是

{ TIWIOHandlerClass }
procedure TIWIOHandlerClass.Init;
var
Path: string;
begin
Path := TIWAppInfo.GetAppPath;
with SSLOptions do begin
CipherList := 'AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES128-SHA:RC4:HIGH:!MD5:!aNULL:!EDH';
SSLVersions := [sslvSSLv2, sslvSSLv23, sslvTLSv1,sslvTLSv1_1,sslvTLSv1_2];
CertFile := Path + 'cert.pem';
KeyFile := Path + 'key.pem';
RootCertFile := Path + 'root.pem';
OnGetPassword := DoGetPassoword;
end;
inherited;
end;


现在我找不到关于这件事的文档。此 Indy documentation page讲述了有关 certfilekeyfile的内容。
但是 Rootcertfilecipherlist不清楚。
您是否有一些知识可以分享?基本上,我想拥有一个带有有效证书(Chrome中为“绿色https”)的https网络服务器。
谢谢。

最佳答案

这个问题与SSL和公钥基础结构(PKI)有很多关系。您可以在网络上找到有关该主题的很多信息,但是我会尽力帮助您入门。我没有支持SSL的Intraweb版本,所以我无法编译该示例,但希望这能使您有所了解。

为了在Chrome中获得“绿色https”,必须满足一些条件。简而言之,这意味着服务器提供的证书必须在有效期限方面有效,它必须具有受支持的加密算法,主机名必须与所使用的请求者或客户端的主机名相同。从一个完整的列表,但您知道了。除此之外,客户端必须直接或通过层次结构信任证书(因此,PKI中的“基础结构”)。浏览器和操作系统中预装了我们认为值得信赖的权威证书颁发机构,通常称为CA(证书颁发机构)。由于它是层次结构,因此在颁发证书的人和浏览器信任的人之间可能会有一条路径。因此,许多客户端需要服务器提供“证书链”,以显示通往最高CA的路径。这就是Rootcertfile的用途。

如果希望普通互联网用户信任的服务器,则需要从信任的机构获取证书。您可以从“ Let's Encrypt”之类的站点获取简单的免费证书,但是必须满足一些先决条件(例如,具有域的管理权限),并且还需要处理诸如证书更新之类的事情。

一种简单的入门方法是创建一个自签名证书。这将为您提供cert.pemkey.pem。由于证书是“自签名”的,因此您是您自己的根,因此如果必须具有root.pem,我认为您也可以在其中使用cert.pem。您没有层次结构,并且除非您说服他们,否则任何人都不会信任您的证书。

我认为cipherlist与服务器支持的密码有关。您可能可以使用默认值作为开始。

为了使Chrome浏览器满意,您需要将自签名证书导入到客户端上的Trusted CA存储中。您还需要确保可以解析证书中的名称。最简单的方法是将名称添加到客户端主机文件。这不必是计算机的实际主机名,您可以use.whatever.you.want

This是有关自签名证书的好线程。由于您想快速入门,因此在这里我将介绍基础知识。我猜您在Windows上,因为您正在运行Delphi。


下载并安装OpenSSL。我用了
Win64OpenSSL_Light-1_1_0g.exe中的Shining LightProductions
使用以下内容创建一个名为req.cnf的文本文件。这个文件
是必需的,因为现代浏览器要求主机名是
存在于SAN领域。

[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no
[req_distinguished_name]
C = NA
ST = NA
L = lab
O = lab
OU = lab
CN = www.myintrawebserver.local <--- Replace with your name
[v3_req]
keyUsage = critical, digitalSignature, keyAgreement
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = www.myintrawebserver.local <--- Replace with your name
DNS.2 = myintrawebserver.local <--- Optional additional name(s)

转到DOS提示符并运行以下命令(反斜杠
在“ 365”仅是为了使它更易于阅读之后,
视窗):

C:\home>\OpenSSL-Win64\bin\openssl req -x509 -sha256 -nodes -days 365 \
-newkey rsa:4096 -keyout key.pem -out cert.pem -config req.cnf


如果一切正常,您将写入文件 cert.pemkey.pem
当前目录。

Generating a 4096 bit RSA private key
.......................................................................
...................................++
.......................................................................
.......................................................................
.......................................................................
......................................................++
writing new private key to 'key.pem'
-----

将主机名添加到客户端计算机上的 C:\Windows\System32\drivers\etc\hosts文件中。请记住,您需要以管理员身份编辑文件。
将cert.pem导入信任库。这可以通过设置->高级->证书(或类似方法)来完成。将证书添加到受信任的根颁发机构(我不知道确切的名称,我的计算机使用的是非英语语言)。
运行并访问您的应用程序。希望您的浏览器很高兴:-)


在此示例中, key.pem没有密码保护。我不知道
OnGetPassword与密钥密码或密码有关
用户期望提供的信息。

SSLSHopper具有一些有用的工具来检查证书。例如,尝试将cert.pem的内容粘贴到 Certificate Decoder中。下面的示例输出。

Sample output from Certificate Decoder

可以将证书分为两部分。 cert.pem是公共部分,而key.pem是需要保密的部分。客户端需要对公共部分进行解码,以确定他们是否可以信任它。

How2SSL在SSL方面也有一些很好的信息。 Here您可以详细阅读有关PEM文件的更多信息。 PEM只是许多使PKI复杂化的文件格式之一;-)

关于delphi - 用于在Intraweb VCL中使https工作的pem文件对于Web,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48511710/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com