我在ubuntu 20.4中写了一个自定义的OpenSSL引擎和引擎测试器。OpenSSL 版本是 1.1.1。
目标是在 TLS 会话中使用引擎,第一步是使用命令行签署摘要。参考网站是: https ://wiki.openssl.org/index.php/Creating_an_OpenSSL_Engine_to_use_indigenous_ECDH_ECDSA_and_HASH_Algorithms
但是测试人员通过调用函数来使用引擎,如代码中的ECDSA_sign和ECDSA_verify,不能按预期运行。我希望达到这样的效果:
$ openssl dgst -engine <engine_id> -sha256 -sign -out
所以我该怎么做?这可行吗?非常感谢!
该 OpenSSL wiki 页面对于初学者了解 OpenSSL 引擎的工作原理很有用,但是该页面中的许多 API 已被弃用,尤其是 ECC 功能,它太旧了。
是的,这是可行的。
将您的复制YOUR_ENGINE_NAME.so到/usr/lib/x86_64-linux-gnu/engines-1.1/,然后编辑 /etc/openssl.cnf以告诉 OpenSSL 命令行实用程序开始加载您的引擎:
# Insert near top of file openssl.cnf:
openssl_conf = openssl_init
# OpenSSL example configuration file.
# This is mostly being used for generation of certificate requests.
#
......
......
# Insert at bottom of file openssl.cnf:
[ openssl_init ]
engines = engine_section
[ engine_section ]
YOUR_ENGINE_NAME = YOUR_ENGINE_NAME_section
[ YOUR_ENGINE_NAME_section ]
engine_id = YOUR_ENGINE_NAME
dynamic_path = /usr/lib/x86_64-linux-gnu/engines-1.1/YOUR_ENGINE_NAME.so
default_algorithms = ALL
init = 1
您可以printf在引擎的 init 函数中添加一些信息。如果引擎正确加载,它将在 OpenSSL 命令行实用程序启动后显示:
$ openssl
engine bind start
YOUR_ENGINE init success
OpenSSL>