Скачал библиотеку, установил.
Начал последовательно выполнять функции начала соединения.
SSL_library_init();
SSL_CTX_new();
SSL_new();
SSL_set_fd() (или BIO — вообще не понял, что это такое);
Все ок.
Но на попытке соединиться с помощью
SSL_connect() на клиенте и SSL_accept() на сервере
получаю ошибки.
Приходит в голову, что не настроены ключи, сертификаты и прочее в настройках.
Но структуры данных сильно навороченные и мало документированы — мне неясно, куда идти,
чтобы все это генерировать и подставлять.
Немного о задаче.
Мне нужно установить защищенное соединение между клиентом и сервером.
Мне не нужны постоянные ключи, сертификаты и прочее.
Соединение мне нужно установить одноразовое — на каждый сеанс сделать новые ключи, обменяться ими, потом передать данные туда-сюда и все — все эти ключи и прочее мне сохранять не надо.
Это реально или надо делать постоянные ключи?
Kelasant wrote:
> Очень мало инфы о настройке и подключении. > > Скачал библиотеку, установил. > Начал последовательно выполнять функции начала соединения. > SSL_library_init(); > SSL_CTX_new(); > SSL_new(); > SSL_set_fd() (или BIO — вообще не понял, что это такое); > > Все ок. > Но на попытке соединиться с помощью > SSL_connect() на клиенте и SSL_accept() на сервере > получаю ошибки. > Приходит в голову, что не настроены ключи, сертификаты и прочее в настройках. > Но структуры данных сильно навороченные и мало документированы — мне неясно, куда идти, > чтобы все это генерировать и подставлять.
Скачай сорсы, там есть фолдер samples. Там все проще некуда.
> Немного о задаче. > Мне нужно установить защищенное соединение между клиентом и сервером. > Мне не нужны постоянные ключи, сертификаты и прочее. > Соединение мне нужно установить одноразовое — на каждый сеанс сделать новые ключи, обменяться ими, потом передать данные туда-сюда и все — все эти ключи и прочее мне сохранять не надо. > Это реально или надо делать постоянные ключи?
Кстати, об OpenSSL и ADH, а также неблокирующих сокетах...
Как *правильно* с помощью OpenSSL решить такую задачу:
Есть класс (исходников, ессно, нет), что-то вроде MFC-шного CAsyncSocket. Набор функций стандартный, create, bind, listen, connect, accept, read, write, close. Поскольку это все жутко асинхронное, есть соответствующий набор completion events, то бишь onaccepted, onreadcomplete, onwritecomplete.
Надо сделать CSSLSocket, который будет давать все то же, но уже с SSL-ем, через методы базового класса asyncSocket.
Но ведь openSSL ни о каких acyncsocket не знает. Правильно ли я понимаю, что нужно написать свой BIO-"якобы-класс", который бы работал сквозь asyncSocket, или есть методы проще?
> > Кстати, об OpenSSL и ADH, а также неблокирующих сокетах... > Как *правильно* с помощью OpenSSL решить такую задачу: > > Есть класс (исходников, ессно, нет), что-то вроде MFC-шного CAsyncSocket. Набор функций стандартный, create, bind, listen, connect, accept, read, write, close. Поскольку это все жутко асинхронное, есть соответствующий набор completion events, то бишь onaccepted, onreadcomplete, onwritecomplete. > Надо сделать CSSLSocket, который будет давать все то же, но уже с SSL-ем, через методы базового класса asyncSocket. > > Но ведь openSSL ни о каких acyncsocket не знает.
А ему и не нужно этого знать. OpenSSL не работает с событиями на сокетах.
> Правильно ли я понимаю, что нужно написать свой BIO-"якобы-класс", который бы работал сквозь asyncSocket, или есть методы проще?
Не нужно. Для блокирующих сокетов ты просто вызываешь SSL_connect/accept/read/write. Для неблокирующих/асинхронных ты так же вызываешь эти же ф-ции при получении событий готовности твоих сокетов, используя любую модель событий готовности сокетов на твоей платформе.
"MaximE" <5711@users.rsdn.ru> wrote in message news:1061469@news.rsdn.ru... > неблокирующих/асинхронных ты так же вызываешь эти же > ф-ции при получении событий готовности твоих сокетов, > используя любую модель событий готовности сокетов на твоей платформе.
Не совсем понимаю.
OpenSSL жестко issue'ит вызовы к сокетным функциям (send/recv и т.п.). Но они для тех самых "почти-async-socket" невалидны, да и самого file descriptor для сокета нет как такового — все скрыто от меня.
SkyDance <38094@users.rsdn.ru> wrote:
> "MaximE" <5711@users.rsdn.ru> wrote in message news:1061469@news.rsdn.ru... >> неблокирующих/асинхронных ты так же вызываешь эти же >> ф-ции при получении событий готовности твоих сокетов, >> используя любую модель событий готовности сокетов на твоей платформе. > > Не совсем понимаю. > OpenSSL жестко issue'ит вызовы к сокетным функциям (send/recv и т.п.). Но они для тех самых "почти-async-socket" невалидныж
Как невалидны?
Допустим ты устанавливаешь соединение с SSL сервером на неблокирующем/асинхронном сокете. Вызов connect тебе вернет EINPROGRESS. Дальше ты дожидаешься, пока сокет не станет доступен для записи. После установления соединения ты вызываешь SSL_connect. Этот вызов тебе вернет код возврата, который будет означать либо ошибку, либо что соединение установлено, либо что требуются еще запись/чтение (вызов read/write для сокета в недрах SSL вернул EAGAIN/EWOULDBLOCK). В последнем случае ты опять дожидаешься необходимого события на сокете и снова вызываешь SSL_connect; и так до тех пор пока тебе не вернется ошибка или что соединение установлено,
> да и самого file descriptor для сокета нет как такового — все скрыто от меня.
Как нет? Дескриптор твой, ты его назначаешь SSL соединению вызовом SSL_set_fd.
А вот так.
Таков этот гадский фреймворк, в котором (требование заказчика) приходится работать. Он использует OVERLAPPED и файловые функции для работы с сокетами. То бишь, сокет открывается WSASocket, чтение/запись в него идут через ReadFile/WriteFile глубоко в нёдрах фреймворка.
Получается вот что. Я за-accept'ил соединение, вызвал SSL_accept, внутри которого произошла куча чтений-записей — которые гадский фреймворк подхватил и тут же мимо моего кода поотдавал клиентам.
> Как нет? Дескриптор твой, ты его назначаешь > SSL соединению вызовом SSL_set_fd.
У меня нет fd, который я могу передать в эту функцию. Просто и банально НЕТ... вместо него указатель на экземпляр типа-async-socket.
SkyDance wrote:
>> Как невалидны? > > А вот так. > Таков этот гадский фреймворк, в котором (требование заказчика) приходится работать. Он использует OVERLAPPED и файловые функции для работы с сокетами. То бишь, сокет открывается WSASocket, чтение/запись в него идут через ReadFile/WriteFile глубоко в нёдрах фреймворка. > Получается вот что. Я за-accept'ил соединение, вызвал SSL_accept, внутри которого произошла куча чтений-записей — которые гадский фреймворк подхватил и тут же мимо моего кода поотдавал клиентам.
Ну это уж не ко мне
>> Как нет? Дескриптор твой, ты его назначаешь >> SSL соединению вызовом SSL_set_fd. > > У меня нет fd, который я могу передать в эту функцию. Просто и банально НЕТ... вместо него указатель на экземпляр типа-async-socket.
