基于自签名证书的网络安全应用--在线安全系统页面展示（低级篇） ...

基于自签名证书的网络安全应用

要使用自签名证书实现浏览器与服务端之间的通讯，本文使用 Python 的 socket 库来创建一个基本的 SSL/TLS 连接。详细实现中需要注意：
1 无安全加密环境中的HTTP协议可以在服务端业务开启时自行定义端口号， 当HTTP 采用SSL/TLS 来创建安全链接时，一样平常是采用默认的443端口；
2 采用自签名证书时，大概会出现证书不可信任提醒
以下是一个简朴的示例代码，演示了如何使用自签名证书进行通讯：

1. import socket
2. import ssl
4. # 服务器配置
5. HOST = 'localhost'  # 服务器主机名或 IP 地址
6. PORT = 443  # 服务器端口号
7. CERT_FILE = 'server.crt'  # 服务器证书文件路径
8. KEY_FILE = 'server.key'  # 服务器私钥文件路径
10. # 创建 socket
11. server_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
13. # 绑定服务器地址和端口
14. server_socket.bind((HOST, PORT))
16. # 监听连接
17. server_socket.listen(1)
19. print('等待客户端连接...')
21. # 接受客户端连接
22. client_socket, client_address = server_socket.accept()
24. print('与客户端建立连接:', client_address)
26. # 加载服务器证书和私钥
27. ssl_context = ssl.SSLContext(ssl.PROTOCOL_TLS)
28. ssl_context.load_cert_chain(certfile=CERT_FILE, keyfile=KEY_FILE)
30. # 创建 SSL/TLS 连接
31. ssl_socket = ssl_context.wrap_socket(client_socket, server_side=True)
33. # 与客户端进行通信
34. while True:
35.     data = ssl_socket.recv(1024)
36.     if not data:
37.         break
38.     print('接收到客户端数据:', data.decode())
40.     # 进行响应
41.     response = '服务器收到消息: ' + data.decode()
42.     ssl_socket.send(response.encode())
44. # 关闭连接
45. ssl_socket.close()
46. server_socket.close()

复制代码

其中

• HOST: 服务器的主机名或 IP 地址。
  
• PORT: 服务器的端口号。
  
• CERT_FILE: 服务器的自签名证书文件路径。
  
• KEY_FILE: 服务器的私钥文件路径。
  

确保在服务器端正确天生自签名证书，并将证书文件和私钥文件的路径指定为参数。在客户端浏览器中，手动将自签名证书添加到浏览器的受信任根证书存储中。
一、案例应用

根据上文的形貌，我们使用前面文章中介绍的自签名文件天生方法制作了自签名文件，详细见博文：使用OpenSSL天生自签名证书
文件列表如图所示：

服务端源码：

1. import socket
2. server=socket.socket()
3. server.bind(('192.168.5.128',8080))
4. server.listen(5)
5. while True:
6.     conn,addr=server.accept()
7.     data=conn.recv(1024)
8.     print(data)
9.     data=data.decode()
10.     res=data.split(' ')
11.     print(res)
12.     res=res[1]
14.     conn.send(b'HTTP/1.1 200 ok\r\n\r\n')
15.     if res=='/index':
16.         with open(r'/mnt/hgfs/share/index1.html','rb') as f:
17.             conn.send(f.read())
18.         conn.send(b'index hello')
19.     elif res=='/login':
21.         with open(r'login.html','rb') as f:
22.             conn.send(f.read())
23.         conn.send(b'login')
24.         conn.send(b'hello,no over')
25.     else:
26.         conn.send(b'hello')
27.     conn.close()

复制代码

运行该服务端后，我们在其他机子上打开浏览器后输入不同的URL可以看到不同的页面展示.
但是以上的数据在网络环境中传输是及其不安全的。现在HTTP环境中一个比较好的应用是采用SSL/TLS创建安全链接，实现数据的安全通讯.
基于自签名证书的B/S模式网络安全应用
1 修改服务端代码，加入SSL/TLS安全模块
2 在客户端浏览器中导入自签名证书
3 在客户端中导入域名映射（根据证书的签名情况）
二、 修改服务端代码，加入SSL/TLS安全模块

1. # from ZMQ@cuc
2. # date 9/14/23
4. import ssl
5. context = ssl.SSLContext(ssl.PROTOCOL_TLS)  #建立上下文对象
6. context.load_cert_chain(certfile="scertificate.crt", keyfile="sprivate.key")      #关联安全证书
7. import socket
8. server=socket.socket()
9. server.bind(('192.168.5.128',443))   # 注意端口是443
10. server.listen(5)
11. conn,addr=server.accept()
12. ssl_s=context.wrap_socket(conn,server_side=True)
13. while True:
15.     data=ssl_s.recv(1024)
16.     print(data)
17.     data=data.decode()
18.     res=data.split(' ')
19.     print(res)
20.     res=res[1]
22.     ssl_s.send(b'HTTP/1.1 200 ok\r\n\r\n')
23.     if res=='/index':
24.         with open(r'/mnt/hgfs/share/index1.html','rb') as f:
25.             ssl_s.send(f.read())
26.         ssl_s.send(b'index hello')
27.     elif res=='/login':
29.         with open(r'login.html','rb') as f:
30.             ssl_s.send(f.read())
31.         ssl_s.send(b'login')
32.         ssl_s.send(b'hello,no over')
33.     else:
34.         ssl_s.send(b'hello')
35.     ssl_s.close()

复制代码

三、 把服务器端对应的证书文件导入客户端浏览器中

要将自签名证书导入到客户端的受信任根证书存储中，按照以下步骤进行操作：
在 Windows 操作系统上，方法一：

• 将服务器证书（.crt 或 .pem 格式）复制到客户端盘算机上。
  
• 双击证书文件以打开证书视图。
  
• 在证书视图中，单击 “安装证书” 按钮。
  
• 在证书导入向导中，选择 “将证书存储到盘算机”，然后单击 “下一步”。
  
• 选择 “受信任的根证书颁发机构” 作为证书存储位置，然后单击 “下一步”。
  
• 单击 “浏览”，选择 “受信任的根证书颁发机构” 存储位置，然后单击 “确定”。
  
• 单击 “下一步” 完成证书导入过程。
  
• 在安全告诫对话框中，确认要导入证书，然后单击 “是”。
  

在 Windows 操作系统上，方法二：

• 将服务器证书（.crt 或 .pem 格式）复制到客户端盘算机上（如c:\）。
  
• 使用管理员身份打开win中的cmd
  
• 运行下令：certutil -addstore root c:\scertificate.crt
  其中(c:\scertificate.crt 是签名文件所在的绝对路径，根据实际文件所在的情况输入)
  
  
  
• 设置hosts文件，添加映射（寻找hosts文件所在路径-使用cd进入hosts的路径下-执行notepad hosts在文件末尾添加服务器的ip与域名的映射）
  
  图1 寻找hosts文件所在路径
  
  
  图2 进入hosts文件的当前路径
  
  
  图3 使用notepad编辑hosts文件
  
  
  打开hosts文件后在文件的末尾添加一条 web 服务器所在IP地址和证书中虚拟主机的映射（解决证书中
  使用的服务器名称与 IP的映射，因为是内部环境，没有dns转换，所以需要用到hosts文件进行域名重定
  向）
  如 socket 服务所在的主机为192.168.0.108 证书中的cn为cuc.xjx.com （修改后重启电脑）
  则添加的纪录为：
  

在 Linux （ubuntu）操作系统上：

• 将服务器证书（.crt 或 .pem 格式）复制到客户端盘算机上。
  
• 打开终端，并使用管理员权限执行以下下令：
  

1. cd  切换到服务器证书文件所在的路径下

复制代码

sudo cp scertificate.crt /usr/local/share/ca-certificates/ #scertificate.crt 也可以使用绝对路径

1. 将服务器证书复制到 `/usr/local/share/ca-certificates/`,该目录存放浏览器所连接的各服务器证书
2. 4. 执行以下命令更新证书存储：

复制代码

sudo update-ca-certificates

1. 5. 更新完成后，服务器证书将被添加到系统的受信任根证书存储中。
3. 由于证书对应的服务器域名未在客户端设置的DNS中发布，因此在浏览器输入URL：xjx.cuc.com时需要客户端自行转换为IP。所以需要在 Ubuntu 上添加主机映射，修改 hosts 文件步骤：
5. 1. 打开终端：在 Ubuntu 上，打开终端。
7. 2. 切换到超级用户：运行以下命令以切换到超级用户（root）模式：

复制代码

sudo su

2. 3. 编辑 hosts 文件：运行以下命令来编辑 hosts 文件：

复制代码

nano /etc/hosts

2. 4. 在 hosts 文件中添加映射：在打开的 hosts 文件中，在文件的末尾或适当的位置，按照以下格式添加主机映射：

复制代码

<IP 地址> <域名>

2. 例如，如果要将 `example.com` 映射到 IP 地址 `192.168.0.100`，则可以添加以下行：

复制代码

192.168.0.100 example.com

5. 生存和退出：按下 Ctrl + X 键，然后输入 Y 以生存对 hosts 文件的更改。然后按 Enter 键退出编辑器。

• 刷新 DNS 缓存（可选）：如果已经访问过这些域名，则大概需要刷新 DNS 缓存以使新的主机映射收效。刷新 DNS 缓存：
  1. sudo systemctl restart systemd-resolved

  复制代码
  测试
  
  在启动服务端的前提下，打开浏览器进行测试.(URL中的域名必须和证书制作时输入的-subj 中说明的参数一直）
  
  
  
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。