国密TLCP使用手册
编译 NTLS 功能
NTLS 在 Tongsuo 的术语中代指符合 GM/T 0024 SSL VPN 和 TLCP 协议的安全通信协议,其特点是采用加密证书/私钥和签名证书/私钥相分离的方式。 在编译 Tongsuo 的时候,需要显式的指定编译参数方可开启 NTLS 的支持:
./config enable-ntls --prefix=/path/to/tongsuo
make -j
make install
特性使用(s_server/s_client工具验证)
测试用证书在test/certs/sm2目录下
server 端:命令行输入
openssl s_server -accept 127.0.0.1:4433 \
-enc_cert test/certs/sm2/server_enc.crt \
-enc_key test/certs/sm2/server_enc.key \
-sign_cert test/certs/sm2/server_sign.crt \
-sign_key test/certs/sm2/server_sign.key \
-enable_ntls
client 端(测试 ECC-SM2-WITH-SM4-SM3 套件):命令行输入
openssl s_client -connect 127.0.0.1:4433 -cipher ECC-SM2-WITH-SM4-SM3 -enable_ntls -ntls
client 端(测试 ECDHE-SM2-WITH-SM4-SM3 套件):命令行输入
openssl s_client -connect 127.0.0.1:4433 -cipher ECDHE-SM2-WITH-SM4-SM3 \
-sign_cert test/certs/sm2/client_sign.crt \
-sign_key test/certs/sm2/client_sign.key \
-enc_cert test/certs/sm2/client_enc.crt \
-enc_key test/certs/sm2/client_enc.key \
-enable_ntls -ntls
客户端和服务端集成TLCP
服务端代码片段如下所示,可编译的完整服务端代码可以参考 https://www.yuque.com/tsdoc/ts/gdwdfuoih2mxxotf#L7Ntj
int main() {
//变量定义
const SSL_METHOD *meth = NULL;
SSL_CTX *ctx = NULL;
const char *sign_key_file = "/path/to/sign_key_file";
const char *sign_cert_file = "/path/to/sign_cert_file";
const char *enc_key_file = "/path/to/enc_key_file";
const char *enc_cert_file = "/path/to/enc_cert_file";
//双证书相关server的各种定义
meth = NTLS_server_method();
//生成上下文
ctx = SSL_CTX_new(meth);
//允许使用国密双证书功能
SSL_CTX_enable_ntls(ctx);
//加载签名证书,加密证书
if (sign_key_file) {
if (!SSL_CTX_use_sign_PrivateKey_file(cctx->ctx, sign_key_file,
SSL_FILETYPE_PEM))
goto err;
}
if (sign_cert_file) {
if (!SSL_CTX_use_sign_certificate_file(cctx->ctx, sign_cert_file,
SSL_FILETYPE_PEM))
goto err;
}
if (enc_key_file) {
if (!SSL_CTX_use_enc_PrivateKey_file(cctx->ctx, enc_key_file,
SSL_FILETYPE_PEM))
goto err;
}
if (enc_cert_file) {
if (!SSL_CTX_use_enc_certificate_file(cctx->ctx, enc_cert_file,
SSL_FILETYPE_PEM))
goto err;
}
//...后续同标准tls流程
con = SSL_new(ctx);
}
客户端代码片段如下所示,可编译的完整客户端可以参考 https://www.yuque.com/tsdoc/ts/gdwdfuoih2mxxotf#Zhkwt
int main() {
//变量定义
const SSL_METHOD *meth = NULL;
SSL_CTX *ctx = NULL;
const char *sign_key_file = "/path/to/sign_key_file";
const char *sign_cert_file = "/path/to/sign_cert_file";
const char *enc_key_file = "/path/to/enc_key_file";
const char *enc_cert_file = "/path/to/enc_cert_file";
//双证书相关client的各种定义
meth = NTLS_client_method();
//生成上下文
ctx = SSL_CTX_new(meth);
//允许使用国密双证书功能
SSL_CTX_enable_ntls(ctx);
//设置算法套件为ECC-SM2-WITH-SM4-SM3或者ECDHE-SM2-WITH-SM4-SM3
//这一步并不强制编写,默认ECC-SM2-WITH-SM4-SM3优先
if(SSL_CTX_set_cipher_list(ctx, "ECC-SM2-WITH-SM4-SM3") <= 0)
goto err;
//加载签名证书,加密证书,仅ECDHE-SM2-WITH-SM4-SM3套件需要这一步,
//该部分流程用...begin...和...end...注明
// ...begin...
if (sign_key_file) {
if (!SSL_CTX_use_sign_PrivateKey_file(cctx->ctx, sign_key_file,
SSL_FILETYPE_PEM))
goto err;
}
if (sign_cert_file) {
if (!SSL_CTX_use_sign_certificate_file(cctx->ctx, sign_cert_file,
SSL_FILETYPE_PEM))
goto err;
}
if (enc_key_file) {
if (!SSL_CTX_use_enc_PrivateKey_file(cctx->ctx, enc_key_file,
SSL_FILETYPE_PEM))
goto err;
}
if (enc_cert_file) {
if (!SSL_CTX_use_enc_certificate_file(cctx->ctx, enc_cert_file,
SSL_FILETYPE_PEM))
goto err;
}
// ...end...
//...后续同标准tls流程
con = SSL_new(ctx);
}
说明
由于国密双证书的握手流程和协议版本号与标准 tls 流程存在一定的不同,因此我们选择将双证书的实现(代码里命名为 ntls)同现有的 tls 状态机拆分开来,然后在入口处通过对请求的版本号进行识别,然后使其进入正确的状态机。