# SSL支持 --- 本章将详细讲解如何制作证书以及如何开启Swoole的SSL的单向、双向认证。 ## 准备工作 选择任意路径，执行如下命令创建文件夹结构 ```shell mkdir ca cd ca mkdir private mkdir server mkdir newcerts ``` 在ca目录下创建`openssl.conf`文件，文件内容如下 ``` [ ca ] default_ca = foo # The default ca section [ foo ] dir = /path/to/ca # top dir database = /path/to/ca/index.txt # index file. new_certs_dir = /path/to/ca/newcerts # new certs dir certificate = /path/to/ca/private/ca.crt # The CA cert serial = /path/to/ca/serial # serial no file private_key = /path/to/ca/private/ca.key # CA private key RANDFILE = /path/to/ca/private/.rand # random number file default_days = 365 # how long to certify for default_crl_days= 30 # how long before next CRL default_md = md5 # message digest method to use unique_subject = no # Set to 'no' to allow creation of # several ctificates with same subject. policy = policy_any # default policy [ policy_any ] countryName = match stateOrProvinceName = match organizationName = match organizationalUnitName = match localityName = optional commonName = optional emailAddress = optional ``` 其中，`/path/to/ca/`是ca目录的绝对路径。 ## 创建ca证书 在ca目录下创建一个shell脚本，命名为`new_ca.sh`。文件内容如下： ```bash #!/bin/sh openssl genrsa -out private/ca.key openssl req -new -key private/ca.key -out private/ca.csr openssl x509 -req -days 365 -in private/ca.csr -signkey private/ca.key -out private/ca.crt echo FACE > serial touch index.txt openssl ca -gencrl -out private/ca.crl -crldays 7 -config "./openssl.conf" ``` 执行`sh new_ca.sh`命令，创建ca证书。生成的证书存放于private目录中。 > **注意** 在创建ca证书的过程中，需要输入一些信息。其中，countryName、stateOrProvinceName、organizationName、organizationalUnitName这四个选项的内容必须要填写，并且需要记住。在生成后续的证书过程中，要保证这四个选项的内容一致。 ## 创建服务端证书 在ca目录下创建一个shell脚本，命名为`new_server.sh`。文件内容如下： ```bash #!/bin/sh openssl genrsa -out server/server.key openssl req -new -key server/server.key -out server/server.csr openssl ca -in server/server.csr -cert private/ca.crt -keyfile private/ca.key -out server/server.crt -config "./openssl.conf" ``` 执行`sh new_ca.sh`命令，创建ca证书。生成的证书存放于server目录中。 ## 创建客户端证书 在ca目录下创建一个shell脚本，命名为`new_client.sh`。文件内容如下： ```bash #!/bin/sh base="./" mkdir -p $base/users/ openssl genrsa -des3 -out $base/users/client.key 1024 openssl req -new -key $base/users/client.key -out $base/users/client.csr openssl ca -in $base/users/client.csr -cert $base/private/ca.crt -keyfile $base/private/ca.key -out $base/users/client.crt -config "./openssl.conf" openssl pkcs12 -export -clcerts -in $base/users/client.crt -inkey $base/users/client.key -out $base/users/client.p12 ``` 执行`sh new_ca.sh`命令，创建ca证书。生成的证书存放于users目录中。 进入users目录，可以看到有一个`client.p12`文件，这个就是客户端可用的证书了，但是这个证书是不能在php中使用的，因此需要做一次转换。命令如下： ```shell openssl pkcs12 -clcerts -nokeys -out cer.pem -in client.p12 openssl pkcs12 -nocerts -out key.pem -in client.p12 ``` 以上两个命令会生成cer.pem和key.pem两个文件。其中，生成key.pem时会要求设置密码，这里记为`client_pwd` > **注意** 如果在创建客户端证书时，就已经给client.p12设置了密码，那么在转换格式的时候，需要输入密码进行转换 ## 最终结果 以上步骤执行结束后，会得到不少文件，其中需要用的文件如下表所示： | 文件名 | 路径 | 说明 | | --- | --- | --- | | ca.crt | ca/private/ | ca证书 | | server.crt | ca/server/ | 服务器端证书 | | server.key | ca/server/ | 服务器端秘钥 | | cer.pem | ca/client/ | 客户端证书 | | key.pem | ca/client/ | 客户端秘钥 | # SSL单向认证 ## Swoole开启SSL Swoole开启SSL功能需要如下参数： ```php $server = new swoole_server("127.0.0.1", "9501" , SWOOLE_PROCESS, SWOOLE_SOCK_TCP | SWOOLE_SSL ); $server = new swoole_http_server("127.0.0.1", "9501" , SWOOLE_PROCESS, SWOOLE_SOCK_TCP | SWOOLE_SSL ); ``` 并在swoole的配置选项中增加如下两个选项： ```php $server->set(array( 'ssl_cert_file' => '/path/to/server.crt', 'ssl_key_file' => '/path/to/server.key', )); ``` 这时，swoole服务器就已经开启了单向SSL认证，可以通过`https://127.0.0.1:9501/`进行访问。 # SSL双向认证 ## 服务器端设置 双向认证指服务器也要对发起请求的客户端进行认证，只有通过认证的客户端才能进行访问。 为了开启SSL双向认证，swoole需要额外的配置参数如下： ```php $server->set(array( 'ssl_cert_file' => '/path/to/server.crt', 'ssl_key_file' => '/path/to/server.key', 'ssl_client_cert_file' => '/path/to/ca.crt', 'ssl_verify_depth' => 10, )); ``` ## 客户端设置 这里我们使用CURL进行https请求的发起。 首先，需要配置php.ini,增加如下配置： ``` curl.cainfo=/path/to/ca.crt ``` 发起curl请求时，增加如下配置项： ```php $ch = curl_init(); curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, '2'); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, true); // 只信任CA颁布的证书 curl_setopt($ch, CURLOPT_SSLCERT, "/path/to/cer.pem"); curl_setopt($ch, CURLOPT_SSLKEY, "/path/to/key.pem"); curl_setopt($ch, CURLOPT_SSLCERTTYPE, 'PEM'); curl_setopt($ch, CURLOPT_SSLCERTPASSWD, '******'); // 创建客户端证书时标记的client_pwd密码 ``` 这时，就可以发起一次https请求，并且被swoole服务器验证通过了。