農(nóng)機大全網(wǎng)（www.97661a.com）最新農(nóng)機信息：ssl證書生成，農(nóng)機新產(chǎn)品,二手農(nóng)機,農(nóng)機補貼目錄,農(nóng)機價格查詢,農(nóng)機報價大全，更多農(nóng)機資訊請查看：農(nóng)機資訊

　　ssl證書生成

正文

企業(yè)安防建設的流程：

1、進入鳴蟬SaaS建站系統(tǒng)點擊首頁大圖【注冊】按鈕進入界面跟隨系統(tǒng)步驟引導填信息后即可進入自助創(chuàng)建界面。

2、點擊【企業(yè)網(wǎng)站】然后點擊【安防一類型】或【手機端網(wǎng)站】進入系統(tǒng)界面根據(jù)自己的所屬行業(yè)或者色彩、風格喜好選用一個網(wǎng)站模板。

3、選用模板后自動進入編輯界面自由刪除、更改文字或者圖片換成自己的信息也可以按照自己的喜好來選擇添加或刪除某個模塊這個過程會比較費時間可以托管給平臺進行全程代設計。

網(wǎng)站編輯完成保存預覽即大功告成。如果計劃綁定獨立域名可以進行支付服務器費用進行升級即可。

企業(yè)上云現(xiàn)在有靠譜的呆貓云桌面即可使用呆貓云桌面不需要自己配置云架構等復雜步驟只需要簡單一步申請機型即可按需收費而且隨開隨用機型眾多需要多少臺云機器自己申請即可而且還提供企業(yè)員工管理服務更好的管理員工。

作為企業(yè)安防需要的也是一個工作效率和協(xié)同工作那么使用呆貓云桌面可以輕松幫你解決

呆貓云桌面多人同時使用提供高速專線傳輸通道擁有強大的云存儲能力安全穩(wěn)定促進信息流通和資源共享提高辦公效率高速傳輸、共享存儲、批量使用。提高工作效率一鍵輕松上云提高工作方式靈活性。

企業(yè)使用呆貓云桌面有以下優(yōu)勢：

高性能云上制作：機型軟件按需部署一鍵安裝；豐富的算力資源體驗流暢的制作環(huán)境。

內(nèi)網(wǎng)同步傳輸：內(nèi)網(wǎng)同步傳輸采用了SSL加密TLS協(xié)議保障文件安全高效的同時又能實時共享。

存儲性能強：按需彈性擴容海量存儲降低硬件投資成本。

節(jié)省IT成本：集中化的云服務器運算模式大幅提高資源利用率無需重復投資硬件節(jié)約IT成本

針對設計類大項目多的公司呆貓云桌面為向廣大CG設計師辦公用戶提供了可隨時隨地接入

按需使用付費的GPU云桌面區(qū)別于傳統(tǒng)設計工作站為用戶提供更高效便捷的辦公體驗。

用戶本地制作文件制作完成后提交渲云影視客戶端渲染在呆貓云桌面登錄渲云影視客戶端將結(jié)果文件回傳到云桌面并進行后期合成支持多臺機器同時打開文件并發(fā)加載圖片進行合成；安防后將合成的結(jié)果文件下載到本地節(jié)省大量的時間。

以Nginx對OpenSSL的使用為入口來分析OpenSSL的API的模型。openssl是兩個庫如果以握手為目的只會使用libssl.so這個庫但是如果有加密的需求會使用libcrypto.so這個庫。Nginx中對于OpenSSL的使用大部分是直接使用的libssl.so的接口API的但是仍然會有少部分使用libcrypto.so。除了Nginx本章還會分析一個s_server程序通過這個程序的設計能夠?qū)penSSL的內(nèi)部架構有一個初探。

Nginx的Stream中SSL的實現(xiàn)

Nginx的Stream Proxy中有對于SSL的Terminator的支持。這個終端的意思是可以在Nginx層面把SSL解掉然后把明文傳輸給后端。也就是說支持SSL的Nginx的Stream模塊實際上是一個TLS的握手代理將TLS信道在本地解了再發(fā)送到后端所以整個過程是一個純粹的握手過程至于ALPN這種功能就需要后端與TLS的配合才可以所以這種行為在stream 的SSL中是不能支持的。

這是一個Nginx的Stream SSL模塊相關的函數(shù)列表主要的Stream模塊特有的功能也都就在這個列表里了?？梢钥吹匠ヅ渲煤湍K的整體初始化函數(shù)只剩下一個連接初始化ssl的入口handler和握手的handler。顯然握手的handler是入口handler的深入部分。鑒于Nginx的異步模型可以很容易的想到是Nginx在收到一個連接的時候首先使用ssl_handler作為通用入口在確定是SSL連接之后就會切換到handshaker_handler作為后續(xù)的握手handler函數(shù)。

但是Nginx在支持SSL的時候并不是這樣的輕松因為大量的SSL相關函數(shù)在ngx_event_openssl.c文件里這個文件里的函數(shù)被HTTP模塊和Stream模塊或者其他需要SSL支持的模塊共同使用。包括SessIOn Cache等Nginx重新實現(xiàn)的OpenSSL功能。通過這個例子可以看到如果要自己實現(xiàn)一個SSL支持我們需要兩個東西一個是SSL的用戶端的接口封裝庫（ngx_event_openssl.c）一個是如何把封裝庫的邏輯嵌入到我們的代碼流程的邏輯。Nginx作為一個強大的負載均衡設備這一部分的接口嵌入應該是要追求的安防小化實現(xiàn)的。也就是說Stream模塊相關的代碼越少越好（ngx_stream_ssl_module.c）。所以我們可以看到幾乎就幾個鉤子函數(shù)的定義。

無論是Stream還是HTTP模式整個TLS握手的核心函數(shù)都是ngx_ssl_handshake函數(shù)。我們看這個函數(shù)就能看到一個企業(yè)級的握手接口的使用案例。以下是一個簡化版的函數(shù)流程：

以上是一個同步版本的大體邏輯異步版本的就沒有顯示。可以看到主要的SSL握手的入口函數(shù)是SSL_do_handshake。如果握手正常函數(shù)返回1之后使用SSL_get_current_cipher或得到服務器根據(jù)客戶端發(fā)來的密碼學參數(shù)的列表選擇得到的密碼學套件。這里會返回服務器選擇的那個如果返回為空那么就代表了服務器沒有找到匹配的套件連接就不能繼續(xù)。SSL_CIPHER_description函數(shù)輸入活的指針返回一個字符串格式的套件的描述信息Nginx這里使用了這個信息安防后一步就是查找當前的Session Cache中是否有可以復用的邏輯。這里只是一個查詢并不是就是復用的決定。因為是否復用是在連接建立之前由配置決定的如果Nginx配置了不使用OpenSSL的Session Cache這個查詢就會一直返回0表示沒有被復用。而且這里查詢的OpenSSL中是否有復用并不代表Nginx內(nèi)部是否有復用Nginx內(nèi)部還有一套自己的Session Cache實現(xiàn)但是使用SSL_開頭的API函數(shù)都是OpenSSL的接口。

這個簡單的接口可以看出對OpenSSL的API的使用的一些端倪。OpenSSL提供的API非常多我們寫一個簡單的示例程序僅僅會用到幾個安防簡單的接口例如SSL_new等。但是一個正式的項目會用到很多細節(jié)的API接口。由于OpenSSL只會暴露他認為應該暴露的API函數(shù)出來給調(diào)用者使用其他的函數(shù)調(diào)用者是用不到的并且OpenSSL內(nèi)部的結(jié)構體外部也是不能使用的所以使用者所有的行為都是要基于API進行設計。

OpenSSL分為libcrypto.so和libssl.so兩個庫。在使用TLS握手的時候主要的調(diào)用API都位于ssl.h文件中定義都是SSL_開頭的API。但是這并不意味著只能調(diào)用libssl.so的接口高級的用戶并不是想要使用OpenSSL的TLS握手功能完全可以直接調(diào)用libcrypto.so里面的各種各樣的密碼學庫?？偟膩碚flibssl.so是一個TLS握手庫而libcrypto.so是一個通用的密碼學的庫。只是libssl.so的握手使用的密碼學是完全依賴libcryto.so中提供的。也就是因此在使用TLS握手的時候是基本上不會直接用到libcrypto.so中的API的。

s_server

openssl s_server是一個簡單的SSL服務器雖然說是簡單但是其中包含了大部分用戶SSL編程需要考慮的東西。證書密碼過期校驗密碼學參數(shù)定制隨機數(shù)定制等等。這是一個功能性的程序用于驗證openssl內(nèi)部的各項SSL握手服務器的功能是否能夠正常使用并不能用于直接服務于線上業(yè)務。

s_server程序啟動的安防步是解析各種參數(shù)在正常運作的時候安防步是加載key。

我們看到OpenSSL內(nèi)部調(diào)用的函數(shù)和在使用OpenSSL庫接口的時候是不一樣的OpenSSL的子程序會調(diào)用一些內(nèi)部的接口。比如這里使用了ENGINE_init直接初始化了底層的引擎系統(tǒng)。ENGINE系統(tǒng)是OpenSSL為了適配下層不同的數(shù)據(jù)引擎設計的封裝層。有對應的一系列API所有的ENGINE子系統(tǒng)的API都是ENGINE_開頭的。一個引擎代表了一種數(shù)據(jù)計算方式比如內(nèi)核的密碼學套件可以有一個專門的OpenSSL引擎調(diào)用到內(nèi)核的密碼學代碼QAT硬件加速卡也會有一個專門的引擎OpenSSL自己的例如RSA等加密算法的實現(xiàn)本身也是一個引擎。這里在加載key的時候直接初始化一個引擎這個引擎在init之前還要先調(diào)用一個setup_engine函數(shù)這個函數(shù)能夠設置這個將要被初始化的引擎的樣子。s_server之所以要自己用引擎的API接口是因為它支持從命令行輸入引擎的參數(shù)指定使用的引擎。

可以看到如果指定了auto就會加載所有默認的引擎。如果指定了特定ID的引擎就只會加載特定的引擎。一個引擎下面是所有相關的密碼學的實現(xiàn)加載key就是一個密碼學層面的操作所以也要使用ENGINE提供的接口。事實上安防后都是分別調(diào)用了對應的ENGINE的具體實現(xiàn)這中間都是通過方法表的指針的方式完成的。ENGINE定義的通用的接口還有很多這里只是用到了加載安防。

表內(nèi)都是對不同的EVP_CIPHER和EVP_MD的接口的定義。

我們回到加載key的函數(shù)繼續(xù)閱讀發(fā)現(xiàn)一個 key = bio_open_default(file, 'r', format); 這個key是一個BIO類型的指針這個BIO類型的指針就是另外一個OpenSSL的子系統(tǒng)所有的IO操作都會被封裝到這個子系統(tǒng)之下。例如這里使用的文件IO用于從文件中讀取key的結(jié)果。BIO被設計為一個管道式的系統(tǒng)類似于Shell腳本中見到的管道的效果。有兩種類型的BIO一種是source/sink類型的就是我們安防常見的讀取文件或者Socket的方式。另外一種是管道BIO就是兩個BIO可以通過一個管道BIO連接起來形成一個數(shù)據(jù)流。所以BIO的方式是一個很重量級的IO系統(tǒng)的實現(xiàn)只是目前只是被OpenSSL內(nèi)部使用的比較多。

繼續(xù)向下閱讀加載安防的函數(shù)會發(fā)現(xiàn)PEM_read_bio_PrivateKey函數(shù)這一步就是實際的從一個文件中讀取安防了。我們現(xiàn)在已經(jīng)有了代表文件讀寫的BIO代表密碼學在程序中的封裝EVP中間缺的橋梁就是文件中安防存儲的格式。這里的以PEM_開頭的函數(shù)就代表了PEM格式的API。PEM是密碼學的存儲格式PEM_開頭的API就是解析或者生成這種格式的API當然它需要從文件中讀取所以參數(shù)中也會有BIO的結(jié)構體PEM模塊使用BIO模塊提供的文件服務按照定義的格式將安防加載到內(nèi)存。

OpenSSL的所有apps都會共享一些函數(shù)這些函數(shù)的實現(xiàn)都在一個apps.c文件中以上的加載安防的函數(shù)也是其中的一個。s_server程序在調(diào)用完load_key之后會繼續(xù)調(diào)用load_cert來加載證書。load_cert使用的子系統(tǒng)與load_key非常類似類似的還有后面的load_crl函數(shù)CRL（Certificate revocation lists）是CA吊銷的證書列表這項技術已經(jīng)基本被OCSP淘汰。OpenSSL還提供一個隨機數(shù)文件的功能可以從文件中加載隨機數(shù)。

s_server在加載完相關的密碼學相關參數(shù)后就會開始創(chuàng)建上下文SSL_CTX_new函數(shù)的調(diào)用就代表了上下文的創(chuàng)建。這個上下文是后面所有SSL連接的母板對SSL的配置設置都會體現(xiàn)在這個上下文的設置中。隨后s_server會開始設置OpenSSL服務器支持的TLS握手版本范圍分別調(diào)用SSL_CTX_set_min_proto_version和SSL_CTX_set_max_proto_version兩個函數(shù)完成所有操作。

OpenSSL在共享TLS握手的Session時需要生成一個Session ID默認的情況OpenSSL會在內(nèi)部決定Session ID怎么生成。但是也提供了用戶設置這個生成算法的API。s_server程序調(diào)用SSL_CTX_set_generate_session_id函數(shù)設置一個自己的回調(diào)函數(shù)在這個回調(diào)函數(shù)中就可以完成Session ID的設置從而取代掉OpenSSL自帶的內(nèi)部Session ID的生成器。OpenSSL在證書協(xié)商的時候還會允許外部的庫使用者動態(tài)的修改采用的證書這個機制是通過SSL_CTX_set_cert_cb來設置證書回調(diào)函數(shù)實現(xiàn)的。s_server也有這個函數(shù)的設置。程序走到這里基本能看到OpenSSL的一個很大的特性就是大部分的內(nèi)部流程都會提供一個回調(diào)函數(shù)給使用者來注冊使用者可以按照自己的需求取代掉或者修改OpenSSL內(nèi)部的功能。顯然這個s_server程序是一個功能展示的程序會用上大量的函數(shù)回調(diào)點。比如緊接著調(diào)用的SSL_CTX_set_info_callback函數(shù)就是在生成SSL的時候調(diào)用的可以用于使用者獲得狀態(tài)。不但OpenSSL外部的機制可以在用戶端設置用戶甚至可以設置加密算法的參數(shù)。例如s_server就會接下來根據(jù)用戶是否提供DH參數(shù)來設置內(nèi)部的參數(shù)。如果調(diào)用了SSL_CTX_set_dh_auto就意味著參數(shù)是使用內(nèi)部的機制生成這也是默認的行為。但是仍然可以提前提供主要是為了性能的考慮比如提前提供DH的大素數(shù)DH算法在運算的過程中需要一個取模操作這個取模是對一個大素數(shù)進行取模的而這個大素數(shù)默認是在運行的時候動態(tài)生成的但是我們可以提供這個素數(shù)從而以犧牲一定的安全性為代價換來性能的提高。

s_server在設置完整個上下文之后就會進入Socket安防和處理的模式。由于BIO框架包含了Socket的能力所以這一步本質(zhì)上就是調(diào)用BIO的接口。

這是一個典型的OpenSSL的Socket邏輯。BIO_sock_init這個函數(shù)在Linux下就是空函數(shù)沒有意義。BIO_lookup是一個通用的獲取地址的方法對于Socket就是IP:PORT的字符串對于文件是文件的目錄。BIO_socket意思就相當于在使用Socket變成的socket函數(shù)。BIO_listen也就自然對應listen函數(shù)BIO_accept_ex和BIO_closesocket也是類似的意思。整個流程其實就與一個普通的Socket流程沒有太大區(qū)別只是BIO多了一層封裝。因為OpenSSL是個跨平臺的庫這層封裝更多的意義在于用在跨平臺的應用上的。

通過一個簡單的s_server程序的分析可以看到整個OpenSSL的主要設計思路。它對外封裝了不同的模塊例如ENGINEEVPBIO之類的封裝。在大部分的流程上都提供了回調(diào)函數(shù)API使用者可以用回調(diào)函數(shù)來修改OpenSSL原來的邏輯或者獲得其他的信息。在使用OpenSSL的時候一般需要遵循類似的流程就是創(chuàng)建上下文然后配置上下文然后運行服務。

返回：安防新聞