SSL编程(3).NET实现SSL服务端

准备开发用数字证书

一般学习和开发调试场合,不会随便使用正式的SSL服务器证书的私钥。由于服务器验证对于SSL来说是必须的,SSL服务器端必须有拥有一个服务器证书,即能够访问到证书的私钥。对于要求客户端验证的SSL,对客户端有着同样的要求,客户端需要拥有与自己声称的身份对应的数字证书。

Windows SDK中有一个制作测试开发用的临时数字证书的命令行工具:makecert.exe。这一工具也被包含在Visual Studio中。打开SDK或者Visual Studio的命令行提示窗口,输入如下的命令:

makecert –ss “MY”

会在当前用户的个人证书存储中创建一个新的数字证书,证书用途有“所有”(All),这种证书既能够用于服务器验证,又能够用于用户验证。下图中名为Joe’s-Software-Emporium的证书就是makecert命令所生成的,我们随后把它用于服务端的身份验证。我们再创建一个名为Test2的证书,这个证书将会在后面用于客户端验证。生成名称为Test2的证书命令如下:

Makecert -n “CN=Test2” -ss “MY”

到这里,SSL服务器端和客户端两边的证书就都准备好了。需要注意的是,这两个证书目前都没有得到系统的信任,下面的编程调试过程中,我们将会讨论对证书信任的处理。

SSL服务端实现

Ssl服务端示例1的功能是在端口443等待客户端的SSL握手请求,SSL握手成功后,接收客户端的数据,然后给客户端发送一段应答数据。

首先是实现TCP服务端,使用一个TcpListener对象启动侦听,等待连接,接受连接获得一个与客户端对等的TcpClient对象。这个比TCP客户端稍微要复杂一点儿。这里不详述,不清楚的读者可以阅读Tcp服务端编程相关的参考资料。代码片段如下:

TcpListener listener = new TcpListener(IPAddress.Any, 443);

listener.Start();

while (true)

{

Console.WriteLine("Waiting for a client to connect...");

// 应用程序会阻塞在这里,直到有一个客户端发起连接.

TcpClient client = listener.AcceptTcpClient();

ProcessClient(client);

}

代码运行到ProcessClient时,服务端已经有了由一个TcpClient对象代表的Tcp连接。到这里,在网络通信层面上,服务端与客户端成为对等的。我们使用从服务器端的TcpClient对象的IO流构造一个SslStream对象,处理SSL协议。服务端与客户端的差异在于服务器端要调用AuthenticateAsServer函数,把自己设定为SSL服务端模式,并进入等待对端作为客户端发起SSL握手。AuthenticateAsServer函数必须有一个服务器证书作为输入,加载名为Joe‘s-Software-Emporium的服务器证书代码片段如下:

X509Store store = new X509Store("MY", StoreLocation.CurrentUser );
store.Open(OpenFlags.ReadOnly);
X509Certificate2Collection storecollection = (X509Certificate2Collection)store.Certificates.Find(X509FindType.FindBySubjectName, @"Joe‘s-Software-Emporium",false);
serverCertificate = storecollection[0];

把获得的serverCertificate对象作为服务器证书输入,启动SSL服务端:

SslStream sslStream = new SslStream(

client.GetStream(), false,

new RemoteCertificateValidationCallback(ValidateClientCertificate));

// Authenticate the server but don‘t require the client to authenticate.

try

{

sslStream.AuthenticateAsServer(serverCertificate,

false, // 这个参数决定是否需要客户端出示数字证书对客户端身份进行验证.

SslProtocols.Tls, false);

// Display the properties and settings for the authenticated stream.

建立连接后,服务器调用SslStream的Read, Write函数,进行数据的安全收发处理。

SSL连接测试

我们仍然使用前面的简单SSL客户端示例1,修改目标地址和端口连接SSL服务端示例1。客户端立即报告服务端出示的证书无效,结束了SSL握手。

代码执行情况如下:

程序输出是:

如果我们强行让客户端负责证书检验的函数ValidateServerCertificate返回true的话,SSL握手能够完成,后面的加密数据收发也能进行。但是这样做意味着客户端会接受任何服务器证书,这样的ssl客户端程序对ssl中间人攻击处于不设防状态。我们不打算在这里提供这种糟糕的示例,性急的读者可以自己改,把上图中断点处代码直接改成return true,就完事了。需要切记,那样的ValidateServerCertificate代码只能用于SSL编程学习玩玩,决不能用于任何正式产品之中!或者,开发者强行让计算机信任签发测试证书的CA,也能让客户端示例1完成SSL握手;但是这样意味着系统信任了一个测试用CA,这会危及整个计算机的公钥信任,我们在这里也不这么做。

尽管最简单的SSL客户端示例1无法连接这个服务端,但是对于不要求客户端验证的SSL服务端,这个服务端代码已经完整了。如果服务器端加载的是一个由Verisign这样的公众信任的CA签发的有效服务器证书,客户端示例1将能够正常连接并完成数据的加密收发。

由于多数读者不会有这样一个服务器证书,客户端示例1这样的,只信任系统信任的证书的安全SSL客户端,会拒绝与使用测试用证书的SSL服务端建立SSL连接。这个问题的合适处理,我们将在后面给予一个较为充分的讨论。

时间: 2025-01-13 18:23:05

SSL编程(3).NET实现SSL服务端的相关文章

DSAPI多功能组件编程应用-HTTP监听服务端与客户端_指令版

前面介绍了DSAPI多功能组件编程应用-HTTP监听服务端与客户端的内容,这里介绍一个适用于更高效更快速的基于HTTP监听的服务端.客户端. 在本篇,你将见到前所未有的超简化超傻瓜式的HTTP监听服务,与前篇中的不同,在DSAPI中,指令版同时包含了服务端与客户端. 先来看一下使用方法,几乎不需要太多的说明,当然,它是支持事件的.所谓指令版,即服务端和客户端收发都是基于短字串的,比如客户端发一个"hello",服务端收到这个指令后返回一个"Hi".为确保传输的数据有

TCP/IP网络编程之基于TCP的服务端/客户端(二)

回声客户端问题 上一章TCP/IP网络编程之基于TCP的服务端/客户端(一)中,我们解释了回声客户端所存在的问题,那么单单是客户端的问题,服务端没有任何问题?是的,服务端没有问题,现在先让我们回顾下服务端的I/O代码 echo_server.c --while ((str_len = read(clnt_sock, messag, 1024)) != 0) write(clnt_sock, messag, str_len);-- 接着,我们回顾客户端的代码 echo_client.c -- wr

socket编程:多路复用I/O服务端客户端。

其实在之前的TCP之中,我们编程实现了多进程,多线程机制下的TCP服务器,但是对于这种的TCP服务器而言,存在太大的资源局限性.所以我们可以是用I/0模型中的多路复用I/O模型来进行编程. 他的具体思想就是:当前进程可以处理多个相应时间,记录多个描述符,然后控制轮询时间态,当有响应产生的时候我们就去保存当前响应文件描述符,对他进行连接处理/数据传输就OK了.在一个进程进行多个响应时间的答复情况下,可以大大的节约我们系统所消耗的资源. 对这个进行操作的函数就是select(): 他的函数原型如下:

Qt学习心得之网络编程简单的局域网聊天服务端建立

学而不思则罔,思而不学则殆.学习和思考是相辅相成的,通过这几天对网络编程的学习,收获颇丰.接下来我将利用Qt做的一个以TcpIp协议为传输方式的简单的局域网聊天服务端与大家分享下: 首先谈谈我个人对Tcp协议的理解:Tcp就是网上购物,买家和买家之间的物品传递,快递公司的扮演.快递公司将卖家所要寄出的物品进行包装,给予独特的号码,并从卖家获取目的地地址,得知这些明确信息后准确将物品送到买家,买家签收后,卖家通过快递单号查询到买家签收的消息. 其次是这个简单局域网聊天服务器的创建思路.如下图是思路

python socket编程 ,tcp,udp服务端客户端创建

转自http://blog.csdn.net/rebelqsp/article/details/22109925 Python 提供了两个基本的 socket 模块. 第一个是 Socket,它提供了标准的 BSD Sockets API. 第二个是 SocketServer, 它提供了服务器中心类,可以简化网络服务器的开发. 下面讲的是Socket模块功能 1.Socket 类型 套接字格式: socket(family,type[,protocal]) 使用给定的地址族.套接字类型.协议编号

socket编程:多路复用I/O服务端客户端之epoll

什么是epoll epoll是什么?按照man手册的说法:是为处理大批量句柄而作了改进的poll.当然,这不是 2.6内核才有的,它是在2.5.44内核中被引进的(epoll(4) is a new API introduced in Linux kernel 2.5.44),它几乎具备了之前所说的一切优点,被公认为Linux2.6下性能最好的多路I/O就绪通 知方法. epoll的相关系统调用 epoll只有epoll_create,epoll_ctl,epoll_wait 3个系统调用. 1

linux socket编程:简易客户端与服务端

什么是socket? socket起源于Unix,而Unix/Linux基本哲学之一就是“一切皆文件”,都可以用“打开open –> 读写write/read –> 关闭close”模式来操作.其实socket就是该模式的一个实现,socket即是一种特殊的文件,一些socket函数就是对其进行的操作(读/写IO.打开.关闭) socket的作用是用于网络通讯,网络通讯一般指的是不同主机之间的进程通讯,比如我电脑上的qq和你电脑上的qq实现通讯,都是进程之间发送数据. 在本地用pid标识一个进

socket编程:多路复用I/O服务端客户端之poll

一. 关于poll 对于IO复用模型,其优点无疑是免去了对一个个IO事件就绪的等待,转而代之的是同时对多个IO数据的检测,当检测等待的事件中至少有一个就绪的时候,就会返回告诉用户进程"已经有数据准备好了,快看看是哪个赶紧处理",而对于IO复用的实现,除了可以用select函数,另外一个函数仍然支持这种复用IO模型,就是poll函数: 二. poll函数的用法 虽然同样是对多个IO事件进行检测等待,但poll和select多少还是有些不同的: 函数参数中, 先来说nfds,这个是指当前需

java网络编程TCP传输—流操作—服务端反馈与客户端接收

在读取完流后,服务端会向客户端返回一些数据,告诉客户端,已经写完了. 在这里和”流操作—拿到源后的写入动作“差不多,客户端同样以byte与Buffered两种缓冲读取作为例子,同时,.也是希望大家给补充. 1.利用OutputStream向客户端回写,客户端用byte作为缓冲接收 向客户端回写: 1 //获取socket输出流,将上传成功字样传给客户端 2 OutputStream out=s.getOutputStream(); 3 out.write("上传成功".getBytes