如何为 Net::HTTP 使用自定义 OpenSSL 引擎
How to use a custom OpenSSL engine for Net::HTTP
我正在尝试使用自定义 OpenSSL 引擎进行客户端证书身份验证所需的加密操作。
目前Net::HTTP让我们只传递将用于客户端身份验证的证书和密钥。我们正在将所有私钥移至 HSM ("Hardware Security Module"),因此我们希望插入自定义 OpenSSL 引擎,而不是默认的 OpenSSL 引擎。自定义 OpenSSL 引擎将使用 HSM 执行私钥签名操作。
当前使用默认引擎我们有类似的代码:
http = Net::HTTP.new(uri.host, uri.port)
http.use_ssl = uri.scheme == 'https'
http.cert = OpenSSL::X509::Certificate.new(File.read("/tmp/cert.pem"))
http.key = OpenSSL::PKey::RSA.new(File.read('/tmp/key_pointer.pem'))
http.ssl_version = :TLSv1_2
http.open_timeout = open_timeout
http.read_timeout = read_timeout
request = Net::HTTP::Post.new(uri)
request.body = "body goes here"
response = http.request(request)
我尝试搜索如何为 Net::HTTP 插入自定义 OpenSSL 引擎,但找不到任何内容。我们如何使用自定义引擎使用私钥作为客户端证书身份验证的一部分进行签名?
我找到了解决方法。由于 Net::HTTP 在客户端证书身份验证期间使用 OpenSSL 进行加密。我没有传递密钥,而是使用自定义引擎的密钥句柄,并且在客户端证书身份验证期间对其执行(签名)的操作被中继到 HSM。示例代码如下所示:
http = Net::HTTP.new(uri.host, uri.port)
http.use_ssl = uri.scheme == 'https'
http.cert = OpenSSL::X509::Certificate.new(File.read("/tmp/cert.pem"))
OpenSSL::Engine.load
http.key = OpenSSL::Engine.by_id("EngineId").load_private_key("CKA_LABEL=rsa-private-client-cert-auth-test-9ik98jui98")
http.ssl_version = :TLSv1_2
http.open_timeout = open_timeout
http.read_timeout = read_timeout
request = Net::HTTP::Post.new(uri)
request.body = "body goes here"
response = http.request(request)
我正在尝试使用自定义 OpenSSL 引擎进行客户端证书身份验证所需的加密操作。
目前Net::HTTP让我们只传递将用于客户端身份验证的证书和密钥。我们正在将所有私钥移至 HSM ("Hardware Security Module"),因此我们希望插入自定义 OpenSSL 引擎,而不是默认的 OpenSSL 引擎。自定义 OpenSSL 引擎将使用 HSM 执行私钥签名操作。
当前使用默认引擎我们有类似的代码:
http = Net::HTTP.new(uri.host, uri.port)
http.use_ssl = uri.scheme == 'https'
http.cert = OpenSSL::X509::Certificate.new(File.read("/tmp/cert.pem"))
http.key = OpenSSL::PKey::RSA.new(File.read('/tmp/key_pointer.pem'))
http.ssl_version = :TLSv1_2
http.open_timeout = open_timeout
http.read_timeout = read_timeout
request = Net::HTTP::Post.new(uri)
request.body = "body goes here"
response = http.request(request)
我尝试搜索如何为 Net::HTTP 插入自定义 OpenSSL 引擎,但找不到任何内容。我们如何使用自定义引擎使用私钥作为客户端证书身份验证的一部分进行签名?
我找到了解决方法。由于 Net::HTTP 在客户端证书身份验证期间使用 OpenSSL 进行加密。我没有传递密钥,而是使用自定义引擎的密钥句柄,并且在客户端证书身份验证期间对其执行(签名)的操作被中继到 HSM。示例代码如下所示:
http = Net::HTTP.new(uri.host, uri.port) http.use_ssl = uri.scheme == 'https' http.cert = OpenSSL::X509::Certificate.new(File.read("/tmp/cert.pem")) OpenSSL::Engine.load http.key = OpenSSL::Engine.by_id("EngineId").load_private_key("CKA_LABEL=rsa-private-client-cert-auth-test-9ik98jui98") http.ssl_version = :TLSv1_2 http.open_timeout = open_timeout http.read_timeout = read_timeout request = Net::HTTP::Post.new(uri) request.body = "body goes here" response = http.request(request)