jntass
jntass
openssl cihpers输出的是: ECC-SM4-SM3 ECDHE-SM4-SM3 这是国密TLSv1.1的密码套件之二 关于这点,你可以查看:GMT 0024-2014《SSL VPN技术规范》
tassl生成TLS测试证书的完整步骤: 1、在当前目录下创建一个名为"my"的目录; 2、将openssl.cnf复制到当前目录下(位于tassl的安装目录的ssl子目录中); 3、修改当前目录的openssl.cnf,方式如下: A、[req]选项中添加或者修改:default_md = sm3 B、修改[v3_req]选项内容为: basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature C、添加[v3enc_req]选项,其内容: basicConstraints = CA:FALSE keyUsage = keyAgreement, keyEncipherment, dataEncipherment 4、生成SM2参数文件 openssl ecparam -name SM2 -out...
是不是证书有问题? 我们刚刚上传了sm2 tls 测试证书的生成工具,在Tassl_demo/mk_tls_cert下,你可以试试看。
我们最早用过nginx的1.11.10版本,当时nginx好像还不支持配置多个证书,我们自己添加了配置项,配置国密的双证书,然后修改相关的调用tassl部分,当时是可以测试的。现在nginx已经支持配置多个证书,但是应该也还是需要修改部分代码才能实现国密握手。但是目前公司暂时没有这方面精力进行新版nginx的适配。
> 的nginx源码放出来给我们测试么 Tassl-1.1.1b_v0.8版本发布 2018年的元旦,我们开源了国密算法和国密协议的实现Tassl。推出之后迎来了大家的广泛使用和诸多反馈,获得了一致好评!当然我们也听到了诸多的问题反馈:比如如何用在nginx上,如何调用加密机加密卡,如何适配浏览器,如何让国密使用更简单更稳定?但是鉴于公司业务发展迅速,精力有限,无法做到及时的跟进反馈,在此也一并向关心和支持Tassl发展的各位表示歉意。既然是开源,那么就是要听取大家的诉求,实现大家期待的功能。所以对于各位的建议和反馈我们也是一直铭记在心,不忘初心,在精力允许的情况下,我们尽最大努力在默默修改测试,不断更新迭代版本,来实现我们心中最初的心愿。 时光如梭,在即将到来的2020年元旦,江南天安作为中国领先的密码技术与信息安全综合服务商,我们也给大家带来了基予Openssl-1.1.1b的Tassl-1.1.1b_v0.8版本。此版本有以下特点: 1.支持调用江南天安加密机或加密卡进行加速和物理安全防护。 2.适配了nginx-1.16.0支持国密,同时也将开源此nginx的修改。 3.适配了360浏览器和密信浏览器的访问。 4.修复了bug和一些其他问题。 开源地址:https://github.com/jntass/TASSL-1.1.1b 基过tassl支持国密SSL协议的nginx:https://github.com/jntass/Nginx_Tassl 基于tassl引擎调用我们的加密机和加密卡的简介:https://github.com/jntass/Tassl_Engine 希望你们喜欢! 在此元旦佳节来临之际,再次感谢所有支持和关心tassl发展的各位朋友!祝你们:新年快乐,万事如意!
> @jntass 您好,请问支持产生cfca要求的p10请求文件? 可以生成国密的证书请求文件。但是我们没有测试过cfca要求的p10请求文件,不太清楚是否符合cfca的要求。你们可以生成证书请求,查看结果,并请告知我们。
参考这个#3
Tassl支持江南天安的加密卡调用进行D-H秘钥协商。通过引擎可以支持SDF接口,但这引擎部分不是开源的。
如果客户端基于openssl库进行ssl握手,理论上都可以通过使用tassl加上必要的修改来进行支持。目前你提到的这几个,我们都没有适配。
可能是客户端解密服务端finish消息失败了,客户端和服务端都是用的tassl吗