个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
24
4
我现在想知道我们是否可以在 Linux 环境下基于以下策略/方案制作某种 SSL 服务器。
(1)至于初始请求,应该是在父服务器进程中传入的。在建立 SSL 连接并处理请求的初始解析后,请求(套接字)将被转发到请求处理进程以进行进一步处理。
(2) 请求处理过程应该是事先运行的。从这个意义上说,我们不会在这里使用任何基于 fork-exec-pipe 的方案。
(3) 对于父服务器进程和请求处理进程之间的通信,已经建立了一些IPC,以便通过使用sendmsg()将打开的套接字描述符从父服务器进程复制到请求处理进程—— SCM_RIGHTS 技术。
(4) 在SSL功能方面,我们应该使用OpenSSL(libssl)。
(5) 在请求处理过程中,我们应该使用来自父服务器进程的共享套接字描述符来创建新的 SSL 套接字。
关键是我不想浪费在服务器和请求处理进程之间传输数据的任何性能。我也不想根据请求生成请求处理过程。所以我想提前生成请求处理过程。
虽然我不太确定我在这里所做的尝试是否对您有意义,但如果您能给我一些关于上述方法是否可行的提示,我们将不胜感激。
最佳答案
不清楚您到底在寻找什么,尤其是您想在哪里进行 SSL 加密/解密。
您想在请求处理程序进程中进行加密/解密吗?
这似乎是更可能的解释。但是,您谈论在主进程中进行一些请求解析。在主进程中解析的数据是否已经是 SSL session 的一部分?如果是这样,您将必须在主进程中进行 SSL 握手(初始化和 key 交换)才能访问加密数据。如果您随后将原始套接字传递给另一个进程,它将无法访问父进程的 SSL 状态,因此它无法在父进程停止的地方继续解密。如果它试图在套接字上重新初始化 SSL,就好像它是一个干净的连接一样,客户端可能(正确地)将连接中间的未经请求的握手视为协议(protocol)错误并终止连接。如果没有,则会出现安全漏洞,因为攻击者可能会恶意重定向客户端的网络流量,而不是强制重新初始化的请求处理进程。通常不可能将初始化的 SSL session 传递给不同的进程,而不同时通知它们 OpenSSL 的完整内部状态(交换的 key 、一些序列号等),如果不是不可能的话,这将是很难的。
如果您不需要接触父进程中的 SSL session ,并且您只解析一些在实际 SSL session 开始之前出现的未加密数据(类似于 IMAP 中的 STARTTLS 命令),您的想法将毫无问题地工作.只需阅读您需要的内容,直到 SSL 交换应该开始的地方,然后使用 SCM_RIGHTS 将套接字传递给后端进程(参见例如 cmsg(3) 或 this site 中的示例)。还有一些图书馆可以为您完成这项工作,即 libancillary .
或者您希望主进程为请求处理进程进行 SSL 加密/解密?
在那种情况下,将原始套接字传递给请求处理程序进程是没有意义的,因为它们唯一能从中获得的是加密数据。在这种情况下,您必须打开一个到后端进程的新连接,因为它将携带不同的数据(已解密)。然后主进程将从网络套接字中读取加密数据,解密并将结果写入请求处理程序的新套接字。从另一个方向类推。
注意:如果您只想让您的请求处理过程完全不用担心 SSL,我建议让它们监听环回接口(interface)并使用类似 stud 的东西。做 SSL/TLS 肮脏的工作。
简而言之,您必须选择以上一项。不可能同时进行这两项操作。
关于linux - 使用 libssl 和 sendmsg() SCM_RIGHTS 实现 SSL 服务器,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9380473/
24
4
0
我在 Cloudflare 的域名服务器上有一个域名 example.com。该域指向我的专用服务器的 IP 地址,该服务器运行 CentOS/WHM/cPanel。该站点可访问 - 一切都很好。 我
我正在努力将 SSL 支持添加到我们现有的应用程序中,并已开始考虑向后兼容性。 与我读过的其他帖子不同的一个特殊情况是服务器可能不一定使用 SSL 代码更新。所以我将有一个 SSL 客户端连接到一个对
我有几个 https://*.rest-service.mydomain.com。随着服务数量的增加,我觉得管理 SSL 证书的成本很高。我为 *.mydomain.com 购买了通配符证书。 新添加
我的客户要求我在他的网站上做反向 ssl。但我是这个学期的新手。谁能帮我解决这个问题。 请描述或引用如何做。 最佳答案 查看 this wiki article . In the case of se
关闭。这个问题是opinion-based .它目前不接受答案。 想改进这个问题?更新问题,以便 editing this post 可以用事实和引用来回答它. 去年关闭。 Improve this
我连接到我的网络服务器上的存储库,但是当我尝试推送我的更改时,它显示:“错误 403:需要 ssl”,但在我的存储库设置中我已经激活了 ssl 选项。 有什么建议吗? 最佳答案 当您连接到存储库时,您
抱歉,如果这听起来像是转储问题,我已经阅读了很多关于 SSL 握手和 SSL 工作原理的文章和文档。我对一件事感到困惑,如果有人能澄清我就太好了。 我知道私钥要保密。但是我已经看到通过在请求中指定私钥
随着物联网越来越主流,越来越需要从硬件发送http请求。 一个主要问题是硬件微 Controller 无法发送 ssl 请求,但大多数服务器/网站/服务都在使用 ssl。 所以,问题是,有没有桥(一个
我有一个 ssl 页面,它还从非 ssl 站点下载头像。我能做些什么来隔离该内容,以便浏览器不会警告用户混合内容吗? 最佳答案 只是一个想法 - 或者: 尝试在头像网站上使用 ssl url,如有必要
我在 Digital Ocean droplet(使用 nginx)上设置了两个域。我已经在其中一个(domain1)中安装了一个 SSL 证书,并且那个证书一切正常。第二个域 (domain2) 不
我收到这个错误: Error frontend: 502 Bad gateway 99.110.244:443 2017/09/28 13:03:51 [error] 34080#34080: *10
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎与 help center 中定义的范围内的编程无关。 . 关闭 6 年前。 Improve
我遇到了一个问题,我正在构建一个 nginx 反向代理以定向到不同 url 路径上的多个微服务。 该系统完全基于 docker,因此开发和生产使用相同的环境。这在安装 SSL 时给我带来了问题,因为
所以我知道要求 SSL 证书和接受之间的根本区别,一个意味着您必须拥有 SSL 证书,另一个意味着您不需要。 在某个网页的 IIS 管理器中,我有以下设置: 我遇到的问题是,当我设置需要 SSL 证书
我今天才发现 .app 域名需要 SSL 证书。我购买它是为了将 DNS 重定向到已经设置了 SSL 证书的站点,所以我的问题是是否可以设置它? 我正在使用 Google Domains,在将合成临时
堆栈 : react ,NGINX 1.14.0,GUnicorn,Django 2.2.8,Python 3.6.9 错误 : 在浏览器:当 React 调用 Django API(当然是在请求头中
假设我在计算机上编辑主机文件以使 google.com 指向我的 VPS 服务器 IP,并且服务器具有通过 Apache 或 Nginx 配置的 google.com 的虚拟主机/服务器 block
我有一个场景,我正在处理用于 URL 路由的 IIS 网站配置。我已添加网站并在服务器上导入所需的证书。 我的情况是(我有多个网站 URL 和两个 SSL 证书 - 如下所示): qatest1.ab
我知道服务器发送的证书无法伪造(仍然存在 MD5 冲突,但成本高昂),但是伪造客户端又如何呢?在中间人攻击中:我们不能告诉服务器我们是合法客户端并从该服务器获取数据并对其进行操作,然后使用合法客户端公
我已通读相关问题,但无法完全找到我要查找的内容。我设置了一个名为“domain.com”的域,并创建了两个子域“client.domain.com”和“client-intern.domain.com
我是一名优秀的程序员,十分优秀!