Indy可以从内存加载SSL证书吗?
我有一个客户端应用程序,它需要使用证书将自己授权给服务器。通信使用TCP上的SSL (与HTTP/HTTPS无关)。
当我使用私钥文件并将其设置在IOHandler上时,我已经让它工作了,等等。
我希望避免将私钥文件放在客户端的磁盘上。相反,我想以某种方式通过内存将私钥提供给Indy。
我还没能找到这样做的方法,所以现在我想知道这是否可能?
说明:我的计划是将加密形式的私钥作为资源包含在.exe文件,在内存中解密它,然后通过流或缓冲区将其提供给Indy。所以问题是,Indy在某种程度上支持这一点吗?
回答 2
Stack Overflow用户
发布于 2015-04-25 00:30:53
此时,Indy不公开从内存加载证书的功能。对于该功能请求,有一个开放的工单:
#150:支持从自定义storage加载OpenSSL证书/密钥数据
但是,OpenSSL确实支持它,并且在Windows上的D2009+下,Indy求助于该功能,以便使用OpenSSL不支持的UTF-16文件名加载证书文件(在*Nix系统,但它确实支持UTF-8文件名)。Indy将文件加载到内存中,并使用与OpenSSL本身相同的解析函数。所以你想要的是可能,只是不一直向前..。
下面是一个例子。这些是Indy的IndySSL_CTX_use_PrivateKey_file_PKCS12()
和(基于UTF-16)IndySSL_CTX_use_PrivateKey_file()
包装器函数,它TIdSSLContext.LoadKey()方法中指定的私钥文件进行加载的调用。TIdSSLOptions.KeyFile属性:
function TIdSSLContext.LoadKey: Boolean;
begin
if PosInStrArray(ExtractFileExt(KeyFile), ['.p12', '.pfx'], False) <> -1 then begin
Result := IndySSL_CTX_use_PrivateKey_file_PKCS12(fContext, KeyFile) > 0;
end else begin
Result := IndySSL_CTX_use_PrivateKey_file(fContext, KeyFile, SSL_FILETYPE_PEM) > 0;
end;
if Result then begin
Result := SSL_CTX_check_private_key(fContext) > 0;
end;
end;
function IndySSL_CTX_use_PrivateKey_file_PKCS12(ctx: PSSL_CTX; const AFileName: String): TIdC_INT;
var
LM: TMemoryStream;
B: PBIO;
LKey: PEVP_PKEY;
LCert: PX509;
P12: PPKCS12;
CertChain: PSTACK_OF_X509;
LPassword: array of TIdAnsiChar;
LPasswordPtr: PIdAnsiChar;
begin
Result := 0;
LM := nil;
try
LM := TMemoryStream.Create;
LM.LoadFromFile(AFileName);
except
// Surpress exception here since it's going to be called by the OpenSSL .DLL
// Follow the OpenSSL .DLL Error conventions.
SSLerr(SSL_F_SSL_CTX_USE_PRIVATEKEY_FILE, ERR_R_SYS_LIB);
LM.Free;
Exit;
end;
try
B := BIO_new_mem_buf(LM.Memory, LM.Size);
if not Assigned(B) then begin
SSLerr(SSL_F_SSL_CTX_USE_PRIVATEKEY_FILE, ERR_R_BUF_LIB);
Exit;
end;
try
SetLength(LPassword, MAX_SSL_PASSWORD_LENGTH+1);
LPassword[MAX_SSL_PASSWORD_LENGTH] := TIdAnsiChar(0);
LPasswordPtr := PIdAnsiChar(LPassword);
if Assigned(ctx^.default_passwd_callback) then begin
ctx^.default_passwd_callback(LPasswordPtr, MAX_SSL_PASSWORD_LENGTH, 0, ctx^.default_passwd_callback_userdata);
// TODO: check return value for failure
end else begin
// TODO: call PEM_def_callback(), like PEM_read_bio_X509() does
// when default_passwd_callback is nil
end;
P12 := d2i_PKCS12_bio(B, nil);
if not Assigned(P12) then begin
SSLerr(SSL_F_SSL_CTX_USE_PRIVATEKEY_FILE, ERR_R_PKCS12_LIB);
Exit;
end;
try
CertChain := nil;
if PKCS12_parse(P12, LPasswordPtr, LKey, LCert, @CertChain) <> 1 then begin
SSLerr(SSL_F_SSL_CTX_USE_CERTIFICATE_FILE, ERR_R_PKCS12_LIB);
Exit;
end;
try
Result := SSL_CTX_use_PrivateKey(ctx, LKey);
finally
sk_pop_free(CertChain, @X509_free);
X509_free(LCert);
EVP_PKEY_free(LKey);
end;
finally
PKCS12_free(P12);
end;
finally
BIO_free(B);
end;
finally
FreeAndNil(LM);
end;
end;
function IndySSL_CTX_use_PrivateKey_file(ctx: PSSL_CTX; const AFileName: String;
AType: Integer): TIdC_INT;
var
LM: TMemoryStream;
B: PBIO;
LKey: PEVP_PKEY;
j: TIdC_INT;
begin
Result := 0;
LM := nil;
try
LM := TMemoryStream.Create;
LM.LoadFromFile(AFileName);
except
// Surpress exception here since it's going to be called by the OpenSSL .DLL
// Follow the OpenSSL .DLL Error conventions.
SSLerr(SSL_F_SSL_CTX_USE_PRIVATEKEY_FILE, ERR_R_SYS_LIB);
LM.Free;
Exit;
end;
try
B := BIO_new_mem_buf(LM.Memory, LM.Size);
if not Assigned(B) then begin
SSLerr(SSL_F_SSL_CTX_USE_PRIVATEKEY_FILE, ERR_R_BUF_LIB);
Exit;
end;
try
case AType of
SSL_FILETYPE_PEM:
begin
j := ERR_R_PEM_LIB;
LKey := PEM_read_bio_PrivateKey(B, nil,
ctx^.default_passwd_callback,
ctx^.default_passwd_callback_userdata);
end;
SSL_FILETYPE_ASN1:
begin
j := ERR_R_ASN1_LIB;
LKey := d2i_PrivateKey_bio(B, nil);
end;
else
SSLerr(SSL_F_SSL_CTX_USE_PRIVATEKEY_FILE, SSL_R_BAD_SSL_FILETYPE);
Exit;
end;
if not Assigned(LKey) then begin
SSLerr(SSL_F_SSL_CTX_USE_PRIVATEKEY_FILE, j);
Exit;
end;
Result := SSL_CTX_use_PrivateKey(ctx, LKey);
EVP_PKEY_free(LKey);
finally
BIO_free(B);
end;
finally
FreeAndNil(LM);
end;
end;如您所见,Indy将证书文件加载到BIO使用BIO_new_mem_buf(),提取一个EVP_PKEY,并将其传递给OpenSSL的SSL_CTX_use_PrivateKey()函数将密钥加载到会话的SSL_CTX对象(Indy目前不支持RSA/ASN1私钥)。
因此,您必须在自己的代码中采用类似的逻辑。当然,您必须使您的代码在正确的时间被调用,为此,您需要修改Indy的源代码以将您的代码添加到TIdSSLContext.LoadKey()然后重新编译Indy。至少在Indy在未来的版本中公开本机访问之前是这样的。
Stack Overflow用户
发布于 2015-04-24 18:58:41
如果Indy代码将接受流,则可以轻松地从TMemoryStream相反,但这并不能解决如何将证书加载到TMemoryStream
首先。
归根结底,您的程序必须在某个时刻加载证书,无论是从磁盘还是从网络加载,然后才能将其放入内存。您可以将它作为资源嵌入到EXE本身中,并使用TResourceStream加载它,但这仍然算作它在磁盘上,因为它是EXE的一部分。通过网络加载它意味着你在某个地方有一个服务器提供你的私钥,所以这不是一个好主意,原因很明显。真的没有办法把你的私钥放在磁盘上的某个地方;只要确保你的服务器被配置成不能以下载的方式提供该文件即可。
https://stackoverflow.com/questions/29845063
复制相似问题