标签归档:SSL

封装php的openssl的非对称加密[转]

将php的openssl扩展中的非对称加密函数封装成一个Rsa类。
需要注意的是,在windows上,需要打开openssl的配置文件,请参照官方的openssl扩展安装文档。

<?php
/**
 * 使用openssl实现非对称加密
 * @since 2010-07-08
 */
class Rsa
{
    /**
     * private key
     */
        private $_privKey;

        /**
         * public key
         */
        private $_pubKey;

        /**
         * the keys saving path
         */
        private $_keyPath;

        /**
         * the construtor,the param $path is the keys saving path
         */
        public function __construct($path)
        {
                if(empty($path) || !is_dir($path)){
                        throw new Exception('Must set the keys save path');
                }

                $this->_keyPath = $path;
        }

        /**
         * create the key pair,save the key to $this->_keyPath
         */
        public function createKey()
        {
                $r = openssl_pkey_new();
                openssl_pkey_export($r, $privKey);
                file_put_contents($this->_keyPath . DIRECTORY_SEPARATOR . 'priv.key', $privKey);
                $this->_privKey = openssl_pkey_get_public($privKey);

                $rp = openssl_pkey_get_details($r);
                $pubKey = $rp['key'];
                file_put_contents($this->_keyPath . DIRECTORY_SEPARATOR .  'pub.key', $pubKey);
                $this->_pubKey = openssl_pkey_get_public($pubKey);
        }

        /**
         * setup the private key
         */
        public function setupPrivKey()
        {
                if(is_resource($this->_privKey)){
                        return true;
                }
                $file = $this->_keyPath . DIRECTORY_SEPARATOR . 'priv.key';
                $prk = file_get_contents($file);
                $this->_privKey = openssl_pkey_get_private($prk);
                return true;
        }

        /**
         * setup the public key
         */
        public function setupPubKey()
        {
                if(is_resource($this->_pubKey)){
                        return true;
                }
                $file = $this->_keyPath . DIRECTORY_SEPARATOR .  'pub.key';
                $puk = file_get_contents($file);
                $this->_pubKey = openssl_pkey_get_public($puk);
                return true;
        }

        /**
         * encrypt with the private key
         */
        public function privEncrypt($data)
        {
                if(!is_string($data)){
                        return null;
                }

                $this->setupPrivKey();

                $r = openssl_private_encrypt($data, $encrypted, $this->_privKey);
                if($r){
                        return base64_encode($encrypted);
                }
                return null;
        }

        /**
         * decrypt with the private key
         */
        public function privDecrypt($encrypted)
        {
                if(!is_string($encrypted)){
                        return null;
                }

                $this->setupPrivKey();

                $encrypted = base64_decode($encrypted);

                $r = openssl_private_decrypt($encrypted, $decrypted, $this->_privKey);
                if($r){
                        return $decrypted;
                }
                return null;
        }

        /**
         * encrypt with public key
         */
        public function pubEncrypt($data)
        {
                if(!is_string($data)){
                        return null;
                }

                $this->setupPubKey();

                $r = openssl_public_encrypt($data, $encrypted, $this->_pubKey);
                if($r){
                        return base64_encode($encrypted);
                }
                return null;
        }

        /**
         * decrypt with the public key
         */
        public function pubDecrypt($crypted)
        {
                if(!is_string($crypted)){
                        return null;
                }

                $this->setupPubKey();

                $crypted = base64_decode($crypted);

                $r = openssl_public_decrypt($crypted, $decrypted, $this->_pubKey);
                if($r){
                        return $decrypted;
                }
                return null;
        }

        public function __destruct()
        {
                @ fclose($this->_privKey);
                @ fclose($this->_pubKey);
        }

}

//====================demo=======================
//以下是一个简单的测试demo,如果不需要请删除
$rsa = new Rsa('ssl-key');

//私钥加密,公钥解密
echo 'source:我是老鳖<br />';
$pre = $rsa->privEncrypt('我是老鳖');
echo 'private encrypted:<br />' . $pre . '<br />';

$pud = $rsa->pubDecrypt($pre);
echo 'public decrypted:' . $pud . '<br />';

//公钥加密,私钥解密
echo 'source:干IT的<br />';
$pue = $rsa->pubEncrypt('干IT的');
echo 'public encrypt:<br />' . $pue . '<br />';

$prd = $rsa->privDecrypt($pue);
echo 'private decrypt:' . $prd;
//========================demo======================

学会用PHP的openssl扩展

1、先用openssl_pkey_new()函数产生一个私钥pri_key

$dn = array(
    "countryName" => "UK",
    "stateOrProvinceName" => "Somerset",
    "localityName" => "Glastonbury",
    "organizationName" => "The Brain Room Limited",
    "organizationalUnitName" => "PHP Documentation Team",
    "commonName" => "Wez Furlong",
    "emailAddress" => "wez@example.com"
);

// Generate a new private (and public) key pair
$privkey = openssl_pkey_new();

2、用openssl_csr_new()函数以私钥pri_key 产生一个信用证csr

// Generate a certificate signing request
$csr = openssl_csr_new($dn, $privkey);

3、用openssl_sign()函数以私钥pri_key对一段数据data产生一个数字签名signature

// $data is assumed to contain the data to be signed

// fetch private key from file and ready it
$fp = fopen("/src/openssl-0.9.6/demos/sign/key.pem", "r");
$priv_key = fread($fp, 8192);
fclose($fp);
$pkeyid = openssl_get_privatekey($priv_key);

// compute signature
openssl_sign($data, $signature, $pkeyid);

// free the key from memory
openssl_free_key($pkeyid);

4、用openssl_pkey_get_public()函数从信用证csr中获得公钥pub_key

$res = openssl_pkey_get_public($key);

5、把公钥pub_key、数字签名signature、数据data发给对方。
6、对方收到3项后,用openssl_verify()函数或其他验证工具,验证签名。

// $data and $signature are assumed to contain the data and the signature

// fetch public key from certificate and ready it
$fp = fopen("/src/openssl-0.9.6/demos/sign/cert.pem", "r");
$cert = fread($fp, 8192);
fclose($fp);
$pubkeyid = openssl_get_publickey($cert);

// state whether signature is okay or not
$ok = openssl_verify($data, $signature, $pubkeyid);
if ($ok == 1) {
    echo "good";
} elseif ($ok == 0) {
    echo "bad";
} else {
    echo "ugly, error checking signature";
}
// free the key from memory
openssl_free_key($pubkeyid);

7、对方验证有效,开始使用你的信息data。验证无效,再找你扯皮。

php下ssl加密解密[转]

function ssl_publickey_encrypt($data,$crt) {
    $key_content = file_get_contents($crt);
    $publickeyid = openssl_get_publickey($key_content);
    if (@openssl_public_encrypt($data,$encrypted,$publickeyid)) {
        return base64_encode("".$encrypted);
    } else {
        return false;
    }
}
function ssl_publickey_decrypt($data,$crt) {
    $key_content = file_get_contents($crt);
    openssl_get_publickey($key_content);
    if (openssl_public_decrypt($data,$decrypted,$key_content)) {
        return $decrypted;
    } else {
        return false;
    }
}
function ssl_privatekey_decrypt($data,$pem,$password='') {
    $key_content = file_get_contents($pem);
    $privatekeyid = @openssl_get_privatekey($key_content);
    $data = base64_decode($data);
    if (@openssl_private_decrypt($data,$decrypted,$privatekeyid,OPENSSL_PKCS1_PADDING)) {
        return "".$decrypted;
    } else {
        return false;
    }
}
function ssl_privatekey_encrypt($data,$pem,$password='') {
    $key_content = file_get_contents($pem);
    $privatekeyid = @openssl_pkey_get_private($key_content,$password);
    if (@openssl_private_encrypt($data,$encrypted,$privatekeyid)) {
        return "".$encrypted;
    } else {
        return false;
    }
}

Win32平台下Apache+ssl安装配置

1.取得OpenSSL 和 mod_ssl
下载并解压缩
Apache_2.0.49-Openssl_0.9.7d-Win32.zip
Apache_1.3.31-Mod_SSL_2.8.20-Openssl_0.9.7d-Win32.zip
Openssl-0.9.7d-Win32.zip
从openssl压缩包里拷贝ssleay32.dll和libeay32.dll 到WINNT\System32. 大约有 70 % 的人因为没有这样做导致安装失败。
从 http://www.cygwin.com 下载并安装Cygwin。
注意安装的时候要选择openssl包。
你需要一个 openssl.exe 的配置文件。如果使用 Cygwin,那么已经自动包含。否则你需要下载一个openssl.conf
http://www.securityfocus.com/data/tools/openssl.conf
2. 建立测试证书
下列的说明来自 http://www.apache-ssl.org/#FAQ.
注意:下列命令可以在cygwin里面运行,也可以在解压后的Openssl-0.9.7d-Win32.zip 运行(需要拷贝openssl.conf,如果运行不正确,在命令行后面加上-conf openssl.conf)
openssl req -new -out server.csr
这个语句建立一个证书签名请求和一个私钥。当系统提示 "Common Name (eg, your websites domain name)", 给出精确的web服务器名称 (例如 www.my-server.dom)。如果和实际的名称不符合,浏览器会报错。
openssl rsa -in privkey.pem -out server.key
这个语句从私钥移除 passphrase。 server.key 只能被 apache 和 administrator管理。删除 .rnd 文件,它可能被利用来攻击私钥。
openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 365
这个语句建立自签名的证书,你可以使用这个直到你从权威机构得到了一个 真实证书。你可以扩大 -days 365 的参数,以避免一年以后过期。
如果你的用户使用 MS Internet Explorer 4.0+ 并且希望安装证书到证书存储里(下载和打开), 你需要建立一个 a DER-encoded 版本的证书。
openssl x509 -in server.crt -out server.der.crt -outform DER
建立一个目录 Apache/conf/ssl 并拷贝 server.key 和 server.crt. 对于Linux 建立两个目录 ssl.key 和 ssl.crt. 拷贝 server.crt 到 ssl.crt ;拷贝server.key 到 ssl.key。
3.配置Apache 和mod_ssl
从下载的apache-mod_ssl 包里面拷贝所有的 (*.exe, *.dll, *.so) 文件到原始apache目录。注意不要覆盖原始的配置文件httpd.conf。
注意:查找所有子目录里的这些后缀文件,拷贝到相应目录并覆盖。
定位LoadModule指令在 httpd.conf 文件的位置。增加下列指令:
LoadModule ssl_module modules/mod_ssl.so
在AddModule 指令部分的最后面加上

AddModule mod_ssl.c
从OpenSSL源文件里拷贝 ssl.conf 到 Apache/conf/. 也可以下载 http://www.raibledesigns.com/tomcat/ssl.conf 。
在 httpd.conf的最后增加以下指令
# see http://www.modssl.org/docs/2.4/ssl_reference.html for more info
SSLMutex sem
SSLRandomSeed startup builtin
SSLSessionCache none
ErrorLog logs/ssl.log
LogLevel info
# You can later change "info" to "warn" if everything is OK
SSLEngine On
SSLCertificateFile conf/ssl/server.crt
SSLCertificateKeyFile conf/ssl/server.key

如果配置文件里IfDefine指令有效,则运行apache的时候要加上 -D SSL 参数。
注意: 使用多个虚拟主机的时候,必须用基于ip的配置,因为SSL需要配置一个指定端口443,如果使用了基于名字的指令(对于所有端口)则apache服务器会报错
[error] VirtualHost _default_:443 -- mixing * ports and non-* ports with a NameVirtualHost address is not supported, proceeding with undefined results
启动apache服务器,如果顺利的话你会看到
D:\Apache>apache -D SSL
[Tue Oct 19 22:18:32 2004] [warn] Loaded DSO d:/apache/php/sapi/php4apache.dll u
ses plain Apache 1.3 API, this module might crash under EAPI! (please recompile
it with -DEAPI)
Apache/1.3.31 (Win32) mod_ssl/2.8.19 OpenSSL/0.9.7d PHP/4.3.6 running...
如果不能正确启动,仔细看屏幕提示,你会从中得到解决的办法。
如果一切顺利,那么,打开IE,访问https://localhost