8

我只是想了解 SSL。

我已经在我的本地主机上设置了一个 Jetty 服务器,并使用Keytool生成了我自己的证书。

现在,当我转到https://localhost:8443/时,我得到了无法信任此证书的错误。

我用

keytool -export -alias pongus -keystore keystore -file certfile.cer

创建我认为客户端需要向服务器进行身份验证的证书。(这是我可能大错特错的地方!)

我有以下红宝石代码:

require 'net/https'
require 'openssl'

require 'open-uri'

puts 'yay' if File.exists?('certfile.cer')

uri = URI.parse("https://localhost:8443/")
http_session = Net::HTTP.new(uri.host, uri.port)
http_session.use_ssl = true
http_session.verify_mode = OpenSSL::SSL::VERIFY_PEER
http_session.ca_file = 'certfile.cer'
res = http_session.start do |http|
  # do some requests here
  http.get('/')
end

这确实会打印“yay”,因此 certfile.cer 文件确实存在。

但我得到了错误

/Applications/NetBeans/NetBeans 6.8.app/Contents/Resources/NetBeans/ruby2/jruby-1.4.0/lib/ruby/1.8/net/http.rb:586 warning: can't set verify locations
/Applications/NetBeans/NetBeans 6.8.app/Contents/Resources/NetBeans/ruby2/jruby-1.4.0/lib/ruby/1.8/net/http.rb:586:in `connect': certificate verify failed (OpenSSL::SSL::SSLError)

任何想法我做错了什么?

编辑

我想得到它,所以我保证我连接到正确的服务器,并且服务器可以保证是我连接到它,中间没有任何篡改。我正在开发服务器和客户端。

4

3 回答 3

7

您的客户需要访问其私钥。

您不需要用于服务器证书验证的私钥。您所需要的只是包含公钥的证书本身。只有服务器拥有私钥。这里有很好的描述http://www.helpbytes.co.uk/https.php和这里http://www.verisign.com/ssl/ssl-information-center/how-ssl-security-works/

我的建议很简单。检查您的证书是否正确。

openssl x509 -text -in mycert.crt

此外,如果您有权访问服务器,您可以明确验证证书和密钥(用于 httpd 配置)是否正确(匹配): http: //kb.wisc.edu/middleware/page.php ?id=4064请注意这是在服务器上运行的明确检查。永远不要泄露私钥。此检查只能由管理员执行,以验证 httpd 是否配置错误。

(openssl x509 -noout -modulus -in server.pem | openssl md5 ;\
   openssl rsa -noout -modulus -in server.key | openssl md5) | uniq

您还可以使用标准 openssl 命令调试 SSL 证书通信。发出此命令,然后等待几秒钟,然后键入 QUIT 并按 Enter。您将看到服务器发出的证书。

openssl s_client -connect your.server.com:443

还可以尝试将证书导入浏览器并访问 URL 资源。浏览器可以通过单击 https(Firefox 和 Chrome)来验证它。然后您将看到证书本身和有效性信息。

以上都是关于服务器证书的。这只是问题的一部分。“我正在连接到正确的服务器,并且服务器可以保证是我连接到它”实际上在您上面的代码中,您只检查服务器证书。现在。如果你想要一个客户端证书(你声明的第二部分)而不是你在 Ruby 中需要这个:

File.open( "client_certificate.pem", 'rb' ) { |f| cert = f.read }
File.open( "client_key.pem", 'rb' ) { |f| key = f.read }
http_session.cert = OpenSSL::X509::Certificate.new(cert)
http_session.key = OpenSSL::PKey::RSA.new(key, nil)

这就是在 Ruby 中应该如何使用客户端证书。如果您的私钥是用密码加密的,只需在 RSA 构造函数的第二个参数中传递它而不是 nil 。

我强烈建议让服务器证书工作(您的代码),然后从客户端证书开始。请注意,您保留当前代码(ca_cert,验证常量)并将上述四行添加到其中。

希望这可以帮助。

于 2011-02-17T13:06:59.393 回答
0

您的客户需要访问其私钥。私钥不在证书中,证书只包含公钥。抱歉,我不知道 ruby​​,但一种常见的技术是将私钥和证书捆绑在单个 PKCS#12(又名 p12)文件中,并将其提供给加密库。

于 2010-01-24T02:24:28.763 回答
-6

改变

http_session.verify_mode = OpenSSL::SSL::VERIFY_PEER

http_session.verify_mode = OpenSSL::SSL::VERIFY_NONE

完成此操作后,SSL 将正常工作。我在我的开发环境中多次使用它,总是完美无缺。

于 2010-01-23T19:13:01.107 回答