在密码协议层面,国密标准定义了sm2密钥交换协议、IPSec技术规范、SSL 技术规范三个密码协议。在实际应用系统中为保障系统完整性、保密性、不可抵赖性三方面,应采用规范协议实现安全性保障,不要采用自定义密码协议。 本文通过江南天安开源国密openssl 和 360国密浏览器,实现了国密SM2 HTTPS,可以基于这个框架开发安全应用。 国家密码管理局相关标准国密算法为sm(商密)系列,下面三种算法最常用 – sm2 公钥算法 – sm3 哈希算法 – sm4 对称分组加密算法 和国际算法对应,sm2对应RSA,sm3对应sha256,sm4对应AES。根据国密标准要求,应用系统中应该采用国密算法进行信息系统安全性保护,并且采用的协议应尽量使用国家密码管理局审核的协议。 在密码协议层面,国密标准定义了sm2密钥交换协议、IPSec技术规范、SSL技术规范三个密码协议。在实际应用系统中为保障系统完整性、保密性、不可抵赖性三方面,用户如果采用自定义协议,保证自定义协议是采用国密算法的,但协议的安全性以及整套系统的安全性,还是需要进行评估认证。因此建议在系统中采用国密IPSec和SSL 实现安全性保障。 目前,IPSec 和 SSL 产品形态是一台网关硬件,部署在资源前端,实现用户的身份认证和资源的防护。 我们也可以搭建国密算法的https服务器,测试国密协议。 能够进行测试的国密https站点: – 中国银行 https://ebssec.boc.cn/ – 沃通 https://sm2test.ovssl.cn/ 支持国密的浏览器 – 360浏览器 v10 – 密信浏览器 360 浏览器访问中国银行,能够执行国密标准,验证国密证书。 访问沃通网站,360浏览器不能很好执行国密算法,根据沃通网站的特点,通过兼容TLSv1.2实现。 密信浏览器访问中国银行,提示ERR_CERT_AUTHORITY_INVALID,说明根证书没有添加到密信浏览器的信任区中,请沃通或密信浏览器的开发人员注意预置国密批准的sm2运行CA证书。 密信访问沃通,能成功实现sm2协议。但沃通的测试服务证书不是国密局签发sm2根证书。 采用开源国密算法,由江南天安发布的tassl,和改造后的Nginx。项目地址如下: https://github.com/jntass/TASSL-1.1.1b https://github.com/jntass/Nginx_Tassl 按readme编译TASSL 和 Nginx。 在/root/lib_r/tassl/bin目录下,运行./openssl version,输入tassl 运行tassl 生成证书demo,脚本路径/root/lib_r/tassl/tassl_demo/cert/gen_sm2_cert.sh,证书路径如下: 配置Nginx的安装路径/root/nginx,配置文件/root/nginx/conf/nginx.conf,指明服务器证书和私钥。 配置360浏览器,配置信任证书 C:UserswsnAppDataRoaming360se6User DataDefaultctlctl.dat将 tassldemo/certs/CA.crt文件中的内容保存在ctl.dat文件中。 不设置信任根 设置信任根 ctl.dat文件路径 虽然浏览器和服务器测试通过,但是浏览器没有执行服务端证书核验,意味着服务端仿冒、钓鱼网站等问题。 还留有国密客户端双向认证没有做。 参考资料 1、大宝CA doubleCA https://doubleca.com/test_toIndexPage.action 2、国密服务器开发 https://github.com/mrpre/atls 3. TLS/SSL 协议详解 (29) 国密SSL协议 (代码见参考文献2)https://blog.csdn.net/mrpre/article/details/78015580 4.国密SSL协议开发总结(附报文详细分析)https://blog.csdn.net/weixin_37569048/article/details/88538473 5.gmssl server与360国密浏览器通信-gmssl返回Decrypt Error https://github.com/guanzhi/GmSSL/issues/940 6.gmssl s_server -gmtls 怎么指定双证书 https://github.com/guanzhi/GmSSL/issues/697 7.国密GMSSL https://gmssl.org/ 8.GmSSL证书生成及验证C/S通信双向认证 https://blog.csdn.net/xiejianjun417/article/details/90768899 9. GmSSL 安装方法 https://blog.csdn.net/chhlilt/article/details/105038966 创建国密CA 国密浏览器实现方案(测试网址) https://blog.csdn.net/w277608109/article/details/98116110 1. https://www.cnblogs.com/leehm/p/12264351.html 2.gmssl sm2 https://gmssl.org/docs/sm2.html 3.X509 证书的 SKID/AKID 字段 https://www.cnblogs.com/efzju/p/4976144.html
商密
国密HTTPS
搭建SM2 HTTPS服务
出现下面问题: ./openssl: /lib64/libssl.so.1.1: version `OPENSSL_1_1_1b' not found (required by ./openssl) 解决办法: export LD_LIBRARY_PATH=/root/lib_r/tassl/lib/:$LD_LIBRARY_PATH
OpenSSL 1.1.1b Tassl 0.8 27 Nov 2019
sh-4.4# ls CA.crt CA.pem CASM2.pem CE.key CS.crt CS.pem SE.key SS.crt SS.pem CA.key CA.srl CE.crt CE.pem CS.key SE.crt SE.pem SS.key
配置nginx.conf证书部分: ssl_certificate /root/lib_r/tassl/tassl_demo/cert/certs/SS.crt; #/签名证书/ ssl_certificate_key /root/lib_r/tassl/tassl_demo/cert/certs/SS.key; #/签名私钥/ ssl_enc_certificate /root/lib_r/tassl/tassl_demo/cert/certs/SE.crt; #/加密证书/ ssl_enc_certificate_key /root/lib_r/tassl/tassl_demo/cert/certs/SE.key; #/加密私钥/
本网页所有视频内容由 imoviebox边看边下-网页视频下载, iurlBox网页地址收藏管理器 下载并得到。
ImovieBox网页视频下载器 下载地址: ImovieBox网页视频下载器-最新版本下载
本文章由: imapbox邮箱云存储,邮箱网盘,ImageBox 图片批量下载器,网页图片批量下载专家,网页图片批量下载器,获取到文章图片,imoviebox网页视频批量下载器,下载视频内容,为您提供.
阅读和此文章类似的: 全球云计算
官方软件产品操作指南 (170)
