TLS(SSL) 통신 (nodejs server and python client)

1. 목적

TLS 통신을 하는 Server와 Client를 실제로 만들어서 테스트 해 보았다.

일단 Self Signed Root 인증서를 만들고, Server와 Client 각각의 인증서를 Root CA로 서명해서 사용했다.

2. 인증서를 생성

[ Self Signed Root CA 생성 ]

> openssl genrsa -out CAPriv.pem 2048 > openssl req -new -key CAPriv.pem -out CAReq.pem > openssl x509 -req -days 3650 -in CAReq.pem -signkey CAPriv.pem -out CACert.pem

[ Server 인증서 생성 ]

> openssl req -new -keyout ServerPriv.pem -subj '/C=KR/ST=KR/O=test/CN=server' -out ServerReq.pem > openssl x509 -req -days 365 -CA CACert.pem -CAkey CAPriv.pem -CAcreateserial -in ServerReq.pem -out ServerCert.pem > openssl verify -CAfile CACert.pem ServerCert.pem

[ Client 인증서 생성 ]

> openssl req -new -keyout ClientPriv.pem -subj '/C=KR/ST=KR/O=test/CN=client' -out ClientReq.pem-nodes > openssl x509 -req -days 365 -CA CACert.pem -CAkey CAPriv.pem -CAserial CACert.srl -in ClientReq.pem -out ClientCert.pem > openssl verify -CAfile CACert.pem ClientCert.pem

3. 서버 (nodejs hapi server)

TLS 통신을 위해서는 TLS 파라미터를 전달해야 한다. 서버 인증서와 Root CA 인증서 전달

var Hapi = require('hapi'); var fs = require('fs'); const tlsoption = { key : fs.readFileSync('/home/hskim/project/nodejs/test/certs/ServerPriv.pem'), cert : fs.readFileSync('/home/hskim/project/nodejs/test/certs/ServerCert.pem'), ca : fs.readFileSync('/home/hskim/project/nodejs/test/certs/CACert.pem'), passphrase : 'server' }; // 서버 객체 생성 및 컨넥션 정보 설정 var server = new Hapi.Server( { tls : tlsoption, port : 8000 }); // 라우팅 설정 ('/') server.route({ method: 'GET', path:'/', handler: (request, h) => { console.log('server is starting'); //reply('server is running'); return 'welcome to our server'; } }); // 서버 구동 server.start(function () { console.log('Hello, hapi server is running in ' + server.info.uri); });

4. Client (python http.client 기반)

http.client HTTPSConnection() 파라미터가 파이썬 버전에 따라서 많이 달라졌다. 중요한 점은 TLS 관련 파라미터는 context 객체를 생성해서 전달해야 한다. 기존 key나 인증서 위치 설정 파라미터는 더 이상 지원하지 않는다.

import http.client import ssl import requests ssl_context = ssl.SSLContext() #ssl_context = ssl.SSLContext(ssl.PROTOCOL_SSLv23) ssl_context.verify_mode = ssl.CERT_REQUIRED ssl_context.load_verify_locations("/home/hskim/project/nodejs/test/certs/CACert.pem") conn = http.client.HTTPSConnection('localhost', port=8000, context=ssl_context) conn.request('GET', '/') r = conn.getresponse() print(r.read()) conn.close()

5. Client (python socket 기반)

http.client 보다 더 하위 Layer에서 동작 시켜봤다.

import socket, ssl, pprint context = ssl.SSLContext(ssl.PROTOCOL_SSLv23) context.verify_mode = ssl.CERT_REQUIRED context.load_verify_locations("/home/hskim/project/nodejs/test/certs/CACert.pem") conn = context.wrap_socket(socket.socket(socket.AF_INET)) conn.connect(("localhost", 8000)) cert = conn.getpeercert() ssl.match_hostname(cert, "server") pprint.pprint(cert) conn.sendall(b"HEAD / HTTP/1.0\nHost: server\n\n") pprint.pprint(conn.recv(1024).split(b"\n")) conn.close()

6. 테스트 결과

서버를 node hapi.js을 먼저 실행시키고, python3 test4.py를 실행시키면 정상동작한다.

hskim@hskim-VirtualBox:~/project/python$ python3 test4.py b'welcome to our server' hskim@hskim-VirtualBox:~/project/python$