农机大全网（nongjidaquan.com）最新农机信息：ssl证书生成，农机新产品,二手农机,农机补贴目录,农机价格查询,农机报价大全，更多农机资讯请查看：农机资讯

　　ssl证书生成

正文

企业安防建设的流程：

1、进入鸣蝉SaaS建站系统点击首页大图【注册】按钮进入界面跟随系统步骤引导填信息后即可进入自助创建界面。

2、点击【企业网站】然后点击【安防一类型】或【手机端网站】进入系统界面根据自己的所属行业或者色彩、风格喜好选用一个网站模板。

3、选用模板后自动进入编辑界面自由删除、更改文字或者图片换成自己的信息也可以按照自己的喜好来选择添加或删除某个模块这个过程会比较费时间可以托管给平台进行全程代设计。

网站编辑完成保存预览即大功告成。如果计划绑定独立域名可以进行支付服务器费用进行升级即可。

企业上云现在有靠谱的呆猫云桌面即可使用呆猫云桌面不需要自己配置云架构等复杂步骤只需要简单一步申请机型即可按需收费而且随开随用机型众多需要多少台云机器自己申请即可而且还提供企业员工管理服务更好的管理员工。

作为企业安防需要的也是一个工作效率和协同工作那么使用呆猫云桌面可以轻松帮你解决

呆猫云桌面多人同时使用提供高速专线传输通道拥有强大的云存储能力安全稳定促进信息流通和资源共享提高办公效率高速传输、共享存储、批量使用。提高工作效率一键轻松上云提高工作方式灵活性。

企业使用呆猫云桌面有以下优势：

高性能云上制作：机型软件按需部署一键安装；丰富的算力资源体验流畅的制作环境。

内网同步传输：内网同步传输采用了SSL加密TLS协议保障文件安全高效的同时又能实时共享。

存储性能强：按需弹性扩容海量存储降低硬件投资成本。

节省IT成本：集中化的云服务器运算模式大幅提高资源利用率无需重复投资硬件节约IT成本

针对设计类大项目多的公司呆猫云桌面为向广大CG设计师办公用户提供了可随时随地接入

按需使用付费的GPU云桌面区别于传统设计工作站为用户提供更高效便捷的办公体验。

用户本地制作文件制作完成后提交渲云影视客户端渲染在呆猫云桌面登录渲云影视客户端将结果文件回传到云桌面并进行后期合成支持多台机器同时打开文件并发加载图片进行合成；安防后将合成的结果文件下载到本地节省大量的时间。

以Nginx对OpenSSL的使用为入口来分析OpenSSL的API的模型。openssl是两个库如果以握手为目的只会使用libssl.so这个库但是如果有加密的需求会使用libcrypto.so这个库。Nginx中对于OpenSSL的使用大部分是直接使用的libssl.so的接口API的但是仍然会有少部分使用libcrypto.so。除了Nginx本章还会分析一个s_server程序通过这个程序的设计能够对OpenSSL的内部架构有一个初探。

Nginx的Stream中SSL的实现

Nginx的Stream Proxy中有对于SSL的Terminator的支持。这个终端的意思是可以在Nginx层面把SSL解掉然后把明文传输给后端。也就是说支持SSL的Nginx的Stream模块实际上是一个TLS的握手代理将TLS信道在本地解了再发送到后端所以整个过程是一个纯粹的握手过程至于ALPN这种功能就需要后端与TLS的配合才可以所以这种行为在stream 的SSL中是不能支持的。

这是一个Nginx的Stream SSL模块相关的函数列表主要的Stream模块特有的功能也都就在这个列表里了。可以看到除去配置和模块的整体初始化函数只剩下一个连接初始化ssl的入口handler和握手的handler。显然握手的handler是入口handler的深入部分。鉴于Nginx的异步模型可以很容易的想到是Nginx在收到一个连接的时候首先使用ssl_handler作为通用入口在确定是SSL连接之后就会切换到handshaker_handler作为后续的握手handler函数。

但是Nginx在支持SSL的时候并不是这样的轻松因为大量的SSL相关函数在ngx_event_openssl.c文件里这个文件里的函数被HTTP模块和Stream模块或者其他需要SSL支持的模块共同使用。包括SessIOn Cache等Nginx重新实现的OpenSSL功能。通过这个例子可以看到如果要自己实现一个SSL支持我们需要两个东西一个是SSL的用户端的接口封装库（ngx_event_openssl.c）一个是如何把封装库的逻辑嵌入到我们的代码流程的逻辑。Nginx作为一个强大的负载均衡设备这一部分的接口嵌入应该是要追求的安防小化实现的。也就是说Stream模块相关的代码越少越好（ngx_stream_ssl_module.c）。所以我们可以看到几乎就几个钩子函数的定义。

无论是Stream还是HTTP模式整个TLS握手的核心函数都是ngx_ssl_handshake函数。我们看这个函数就能看到一个企业级的握手接口的使用案例。以下是一个简化版的函数流程：

以上是一个同步版本的大体逻辑异步版本的就没有显示。可以看到主要的SSL握手的入口函数是SSL_do_handshake。如果握手正常函数返回1之后使用SSL_get_current_cipher或得到服务器根据客户端发来的密码学参数的列表选择得到的密码学套件。这里会返回服务器选择的那个如果返回为空那么就代表了服务器没有找到匹配的套件连接就不能继续。SSL_CIPHER_description函数输入活的指针返回一个字符串格式的套件的描述信息Nginx这里使用了这个信息安防后一步就是查找当前的Session Cache中是否有可以复用的逻辑。这里只是一个查询并不是就是复用的决定。因为是否复用是在连接建立之前由配置决定的如果Nginx配置了不使用OpenSSL的Session Cache这个查询就会一直返回0表示没有被复用。而且这里查询的OpenSSL中是否有复用并不代表Nginx内部是否有复用Nginx内部还有一套自己的Session Cache实现但是使用SSL_开头的API函数都是OpenSSL的接口。

这个简单的接口可以看出对OpenSSL的API的使用的一些端倪。OpenSSL提供的API非常多我们写一个简单的示例程序仅仅会用到几个安防简单的接口例如SSL_new等。但是一个正式的项目会用到很多细节的API接口。由于OpenSSL只会暴露他认为应该暴露的API函数出来给调用者使用其他的函数调用者是用不到的并且OpenSSL内部的结构体外部也是不能使用的所以使用者所有的行为都是要基于API进行设计。

OpenSSL分为libcrypto.so和libssl.so两个库。在使用TLS握手的时候主要的调用API都位于ssl.h文件中定义都是SSL_开头的API。但是这并不意味着只能调用libssl.so的接口高级的用户并不是想要使用OpenSSL的TLS握手功能完全可以直接调用libcrypto.so里面的各种各样的密码学库。总的来说libssl.so是一个TLS握手库而libcrypto.so是一个通用的密码学的库。只是libssl.so的握手使用的密码学是完全依赖libcryto.so中提供的。也就是因此在使用TLS握手的时候是基本上不会直接用到libcrypto.so中的API的。

s_server

openssl s_server是一个简单的SSL服务器虽然说是简单但是其中包含了大部分用户SSL编程需要考虑的东西。证书密码过期校验密码学参数定制随机数定制等等。这是一个功能性的程序用于验证openssl内部的各项SSL握手服务器的功能是否能够正常使用并不能用于直接服务于线上业务。

s_server程序启动的安防步是解析各种参数在正常运作的时候安防步是加载key。

我们看到OpenSSL内部调用的函数和在使用OpenSSL库接口的时候是不一样的OpenSSL的子程序会调用一些内部的接口。比如这里使用了ENGINE_init直接初始化了底层的引擎系统。ENGINE系统是OpenSSL为了适配下层不同的数据引擎设计的封装层。有对应的一系列API所有的ENGINE子系统的API都是ENGINE_开头的。一个引擎代表了一种数据计算方式比如内核的密码学套件可以有一个专门的OpenSSL引擎调用到内核的密码学代码QAT硬件加速卡也会有一个专门的引擎OpenSSL自己的例如RSA等加密算法的实现本身也是一个引擎。这里在加载key的时候直接初始化一个引擎这个引擎在init之前还要先调用一个setup_engine函数这个函数能够设置这个将要被初始化的引擎的样子。s_server之所以要自己用引擎的API接口是因为它支持从命令行输入引擎的参数指定使用的引擎。

可以看到如果指定了auto就会加载所有默认的引擎。如果指定了特定ID的引擎就只会加载特定的引擎。一个引擎下面是所有相关的密码学的实现加载key就是一个密码学层面的操作所以也要使用ENGINE提供的接口。事实上安防后都是分别调用了对应的ENGINE的具体实现这中间都是通过方法表的指针的方式完成的。ENGINE定义的通用的接口还有很多这里只是用到了加载安防。

表内都是对不同的EVP_CIPHER和EVP_MD的接口的定义。

我们回到加载key的函数继续阅读发现一个 key = bio_open_default(file, 'r', format); 这个key是一个BIO类型的指针这个BIO类型的指针就是另外一个OpenSSL的子系统所有的IO操作都会被封装到这个子系统之下。例如这里使用的文件IO用于从文件中读取key的结果。BIO被设计为一个管道式的系统类似于Shell脚本中见到的管道的效果。有两种类型的BIO一种是source/sink类型的就是我们安防常见的读取文件或者Socket的方式。另外一种是管道BIO就是两个BIO可以通过一个管道BIO连接起来形成一个数据流。所以BIO的方式是一个很重量级的IO系统的实现只是目前只是被OpenSSL内部使用的比较多。

继续向下阅读加载安防的函数会发现PEM_read_bio_PrivateKey函数这一步就是实际的从一个文件中读取安防了。我们现在已经有了代表文件读写的BIO代表密码学在程序中的封装EVP中间缺的桥梁就是文件中安防存储的格式。这里的以PEM_开头的函数就代表了PEM格式的API。PEM是密码学的存储格式PEM_开头的API就是解析或者生成这种格式的API当然它需要从文件中读取所以参数中也会有BIO的结构体PEM模块使用BIO模块提供的文件服务按照定义的格式将安防加载到内存。

OpenSSL的所有apps都会共享一些函数这些函数的实现都在一个apps.c文件中以上的加载安防的函数也是其中的一个。s_server程序在调用完load_key之后会继续调用load_cert来加载证书。load_cert使用的子系统与load_key非常类似类似的还有后面的load_crl函数CRL（Certificate revocation lists）是CA吊销的证书列表这项技术已经基本被OCSP淘汰。OpenSSL还提供一个随机数文件的功能可以从文件中加载随机数。

s_server在加载完相关的密码学相关参数后就会开始创建上下文SSL_CTX_new函数的调用就代表了上下文的创建。这个上下文是后面所有SSL连接的母板对SSL的配置设置都会体现在这个上下文的设置中。随后s_server会开始设置OpenSSL服务器支持的TLS握手版本范围分别调用SSL_CTX_set_min_proto_version和SSL_CTX_set_max_proto_version两个函数完成所有操作。

OpenSSL在共享TLS握手的Session时需要生成一个Session ID默认的情况OpenSSL会在内部决定Session ID怎么生成。但是也提供了用户设置这个生成算法的API。s_server程序调用SSL_CTX_set_generate_session_id函数设置一个自己的回调函数在这个回调函数中就可以完成Session ID的设置从而取代掉OpenSSL自带的内部Session ID的生成器。OpenSSL在证书协商的时候还会允许外部的库使用者动态的修改采用的证书这个机制是通过SSL_CTX_set_cert_cb来设置证书回调函数实现的。s_server也有这个函数的设置。程序走到这里基本能看到OpenSSL的一个很大的特性就是大部分的内部流程都会提供一个回调函数给使用者来注册使用者可以按照自己的需求取代掉或者修改OpenSSL内部的功能。显然这个s_server程序是一个功能展示的程序会用上大量的函数回调点。比如紧接着调用的SSL_CTX_set_info_callback函数就是在生成SSL的时候调用的可以用于使用者获得状态。不但OpenSSL外部的机制可以在用户端设置用户甚至可以设置加密算法的参数。例如s_server就会接下来根据用户是否提供DH参数来设置内部的参数。如果调用了SSL_CTX_set_dh_auto就意味着参数是使用内部的机制生成这也是默认的行为。但是仍然可以提前提供主要是为了性能的考虑比如提前提供DH的大素数DH算法在运算的过程中需要一个取模操作这个取模是对一个大素数进行取模的而这个大素数默认是在运行的时候动态生成的但是我们可以提供这个素数从而以牺牲一定的安全性为代价换来性能的提高。

s_server在设置完整个上下文之后就会进入Socket安防和处理的模式。由于BIO框架包含了Socket的能力所以这一步本质上就是调用BIO的接口。

这是一个典型的OpenSSL的Socket逻辑。BIO_sock_init这个函数在Linux下就是空函数没有意义。BIO_lookup是一个通用的获取地址的方法对于Socket就是IP:PORT的字符串对于文件是文件的目录。BIO_socket意思就相当于在使用Socket变成的socket函数。BIO_listen也就自然对应listen函数BIO_accept_ex和BIO_closesocket也是类似的意思。整个流程其实就与一个普通的Socket流程没有太大区别只是BIO多了一层封装。因为OpenSSL是个跨平台的库这层封装更多的意义在于用在跨平台的应用上的。

通过一个简单的s_server程序的分析可以看到整个OpenSSL的主要设计思路。它对外封装了不同的模块例如ENGINEEVPBIO之类的封装。在大部分的流程上都提供了回调函数API使用者可以用回调函数来修改OpenSSL原来的逻辑或者获得其他的信息。在使用OpenSSL的时候一般需要遵循类似的流程就是创建上下文然后配置上下文然后运行服务。

返回：安防新闻