我使用LuaSec 0.4的默认'oneshot'示例(见下文)来实现双向身份验证。身份验证成功,因此显然证书颁发机构(CA)承认对等方是他们声称的对象。
但我怎么能看到同龄人声称是谁?例如。如何检查对等证书的组织名称?因为虽然客户端现在可以信任CA已知服务器,但客户端不知道服务器是否真的是正确的对等体。 反过来说:服务器知道CA已知连接客户端。但是CA知道许多客户端,那么服务器如何知道哪个客户端已连接?
-------- For the sake of completeness
------- server code:
require("socket")
require("ssl")
local params = {
mode = "server",
protocol = "sslv3",
key = "../certs/serverAkey.pem",
certificate = "../certs/serverA.pem",
cafile = "../certs/rootA.pem",
verify = {"peer", "fail_if_no_peer_cert"},
options = {"all", "no_sslv2"},
}
-- SSL context
local ctx = assert(ssl.newcontext(params))
local server = socket.tcp()
server:setoption('reuseaddr', true)
assert( server:bind("127.0.0.1", 8888) )
server:listen()
local peer = server:accept()
-- SSL wrapper
peer = assert( ssl.wrap(peer, ctx) )
assert( peer:dohandshake() )
local fd = peer:getfd()
peer:send("oneshot test\n")
peer:close()
------- client code:
require("socket")
require("ssl")
local params = {
mode = "client",
protocol = "sslv3",
key = "../certs/clientAkey.pem",
certificate = "../certs/clientA.pem",
cafile = "../certs/rootA.pem",
verify = {"peer", "fail_if_no_peer_cert"},
options = {"all", "no_sslv2"},
}
local peer = socket.tcp()
peer:connect("127.0.0.1", 8888)
-- SSL wrapper
peer = assert( ssl.wrap(peer, params) )
assert(peer:dohandshake())
print(peer:receive("*l"))
peer:close()
答案 0 :(得分:3)
自0.4起,LuaSec不提供用于检索/解码证书的API。由于我们在Prosody XMPP服务器中使用LuaSec,而XMPP也可以使用TLS +证书进行身份验证,因此我们一直在攻击LuaSec以支持API。
我们的工作尚未合并到上游,但希望它很快就会合并。在此期间,您可以在此处找到它:http://code.matthewwild.co.uk/luasec-hg
获取远程实体的证书非常简单:
cert = conn:getpeercertificate()
这将返回一个X509 cert对象,其中包含各种方法:subject(),:issuer()和:extensions()。
有些API可能会在我们最终确定代码时发生变化,但如果您有任何问题,请随时与我联系。
答案 1 :(得分:1)
不幸的是,似乎目前无法获得身份/检查LuaSec中的证书。这是一个非常简单的绑定(在API方面,而不是功能方面),可以连接到安全的服务器。
为了获得证书,最简单的方法是修改LuaSec并添加像getpeercert()这样的函数,它在内部使用SSL_get_peer_certificate(const SSL *ssl)并返回带有主条目的Lua表。