我对SSL和这些加密内容完全陌生,但我需要在移动设备上运行客户端和服务器Delphi XE6应用程序。必须安全地加密TCP通信。
首先,我简单地编写了基于Delphi / Indy TIdTCPServer / TIdTCPClient的Win32客户端和服务器交换字符串。 (发自在SourceForge上找到的indy10clieservr演示:svn://svn.code.sf.net/p/indy10clieservr/code/1_sample简单字符串交换)
我尝试修改它们以通过在服务器上添加TIdServerIOHandlerSSLOpenSSL组件和客户端上的TIdSSLIOHandlerSocketOpenSSL来加密通信,将它们分别附加到TIdTCPServer和TIdTCPClient。
我在两边设置了以下属性: - SSLOptions.Method = sslvSSSv23 - SSLOptions.Mode = sslmServer / sslmClient(分别) - SSLOptions.VerifyDepth = 2
我添加了一个OnGetPassword事件处理程序,将Password参数设置为' password'双方也是。 (这个密码的作用是什么?对于通信的隐私性是否至关重要?如果通过分析/反向引入二进制文件找到它会怎么样?)
最后,在服务器的OnConnect事件处理程序中,我将TIdSSLIOHandlerSocketBase(AContext.Connection.IOHandler).PassThrough属性设置为false。
但是3 SSLOptions证书属性呢? - CertFile - KeyFile - RootCertFile
如何在目标设备上生成和部署它们以在客户端和服务器上运行我的SSL层?
此外,如果我打算稍后在IOS或Android移动设备上部署我的服务器和/或客户端,是否有一些特殊的事情或需要考虑的事项。
我知道我对这个SSL主题知之甚少。对不起,如果我问一些微不足道的话。任何基本的文档都会向新手解释所有这些棘手的东西。非常感谢。
答案 0 :(得分:4)
正如我在回复你same question on the Embarcadero forums时告诉你的那样,证书是可选的。它们用于允许对等方验证彼此的身份,而不是用于加密。通过允许客户端验证它是否连接到预期连接到的正确服务器,证书有助于避免中间人攻击,反之亦然。客户端拥有证书并不常见,除非在制作只允许授权客户端连接的专有系统时。但至少,服务器拥有证书是很常见的。证书可以受密码保护,因此如果您使用它们,则必须为您实际使用的证书提供正确的密码。无法从证书本身检索证书的密码,但如果攻击者获得对证书文件的访问权限,则您需要处理更大的问题。
对于SSLv23,它是一个通配符,允许动态版本协商 客户端和服务器支持不同的SSL / TLS版本。 SSLv23允许它们 找出并使用双方共同的最高版本。如果是服务器 需要支持广泛的客户端,使用SSLv23是有道理的 服务器端。与客户端不同。既然你控制了两者 客户端和服务器,您应该使用特定版本,而不是 TLSv1或更高。