我正在使用 LuaSec 0.4 中的默认“oneshot”示例(见下文)来实现双向身份验证。身份验证成功,因此显然证书颁发机构 (CA) 承认对等方是他们声称的身份。
但是我如何才能看到同行声称是谁?例如。如何检查对等证书的组织名称?因为尽管客户端现在可以相信服务器是 CA 已知的,但客户端不知道服务器是否真的是正确的对等方。
反之亦然:服务器知道 CA 知道连接客户端。但是很多客户端都是CA已知的,那服务器怎么知道连接的是哪个客户端呢?
-------- For the sake of completeness
------- server code:
require("socket")
require("ssl")
local params = {
mode = "server",
protocol = "sslv3",
key = "../certs/serverAkey.pem",
certificate = "../certs/serverA.pem",
cafile = "../certs/rootA.pem",
verify = {"peer", "fail_if_no_peer_cert"},
options = {"all", "no_sslv2"},
}
-- SSL context
local ctx = assert(ssl.newcontext(params))
local server = socket.tcp()
server:setoption('reuseaddr', true)
assert( server:bind("127.0.0.1", 8888) )
server:listen()
local peer = server:accept()
-- SSL wrapper
peer = assert( ssl.wrap(peer, ctx) )
assert( peer:dohandshake() )
local fd = peer:getfd()
peer:send("oneshot test\n")
peer:close()
------- client code:
require("socket")
require("ssl")
local params = {
mode = "client",
protocol = "sslv3",
key = "../certs/clientAkey.pem",
certificate = "../certs/clientA.pem",
cafile = "../certs/rootA.pem",
verify = {"peer", "fail_if_no_peer_cert"},
options = {"all", "no_sslv2"},
}
local peer = socket.tcp()
peer:connect("127.0.0.1", 8888)
-- SSL wrapper
peer = assert( ssl.wrap(peer, params) )
assert(peer:dohandshake())
print(peer:receive("*l"))
peer:close()
最佳答案
从 0.4 开始,LuaSec 不提供用于检索/解码证书的 API。由于我们在 Prosody XMPP 服务器中使用 LuaSec,并且 XMPP 也可以使用 TLS+certs 进行身份验证,因此我们一直在对 LuaSec 进行黑客攻击以支持 API。
我们的工作尚未合并到上游,但希望很快就会合并。与此同时,您可以在这里找到它:http://code.matthewwild.co.uk/luasec-hg
获取远程实体的证书非常简单:
cert = conn:getpeercertificate()
这将返回一个 X509 证书对象,其中包含各种方法,如 :subject()、:issuer() 和 :extensions()。
一些 API 可能会在我们完成代码时发生变化,但如果您有任何问题,请随时与我联系。
关于ssl - Lua:如何在使用 LuaSec 成功进行客户端身份验证后获取客户端详细信息,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4409588/