一,公鑰私鑰
1,公鑰和私鑰成對出現
2,公開的密鑰叫公鑰,只有自己知道的叫私鑰
3,用公鑰加密的數據只有對應的私鑰可以解密
4,用私鑰加密的數據只有對應的公鑰可以解密
5,如果可以用公鑰解密,則必然是對應的私鑰加的密
6,如果可以用私鑰解密,則必然是對應的公鑰加的密
假設一下,我找了兩個數字,一個是1,一個是2。我喜歡2這個數字,就保留起來,不告訴你們,然后我告訴大家,1是我的公鑰。
我有一個文件,不能讓別人看,我就用1加密了。別人找到了這個文件,但是他不知道2就是解密的私鑰啊,所以他解不開,只有我可以用數字2,就是我的私鑰,來解密。這樣我就可以保護數據了。
我的好朋友x用我的公鑰1加密了字符a,加密后成了b,放在網上。別人偷到了這個文件,但是別人解不開,因為別人不知道2就是我的私鑰,只有我才能解密,解密后就得到a。這樣,我們就可以傳送加密的數據了。
現在我們知道用公鑰加密,然后用私鑰來解密,就可以解決安全傳輸的問題了。如果我用私鑰加密一段數據(當然只有我可以用私鑰加密,因為只有我知道2是我的私鑰),結果所有的人都看到我的內容了,因為他們都知道我的公鑰是1,那么這種加密有什么用處呢?
但是我的好朋友x說有人冒充我給他發信。怎么辦呢?我把我要發的信,內容是c,用我的私鑰2,加密,加密后的內容是d,發給x,再告訴他解密看是不是c。 他用我的公鑰1解密,發現果然是c。這個時候,他會想到,能夠用我的公鑰解密的數據,必然是用我的私鑰加的密。只有我知道我得私鑰,因此他就可以確認確實 是我發的東西。這樣我們就能確認發送方身份了。這個過程叫做數字簽名。當然具體的過程要稍微復雜一些。用私鑰來加密數據,用途就是數字簽名。
好,復習一下:
1,公鑰私鑰成對出現
2,私鑰只有我知道
3,大家可以用我的公鑰給我發加密的信了
4,大家用我的公鑰解密信的內容,看看能不能解開,能解開,說明是經過我的私鑰加密了,就可以確認確實是我發的了。
總結一下結論:
1,用公鑰加密數據,用私鑰來解密數據
2,用私鑰加密數據(數字簽名),用公鑰來驗證數字簽名。
在實際的使用中,公鑰不會單獨出現,總是以數字證書的方式出現,這樣是為了公鑰的安全性和有效性。
二,SSL
我和我得好朋友x,要進行安全的通信。這種通信可以是QQ聊天,很頻繁的。用我的公鑰加密數據就不行了,因為:
1,我的好朋友x沒有公私鑰對,我怎么給他發加密的消息啊? (注:實際情況中,可以雙方都有公私鑰對)
2,用公私鑰加密運算很費時間,很慢,影響QQ效果。
好了,好朋友x,找了一個數字3,用我的公鑰1,加密后發給我,說,我們以后就用這個數字來加密信息吧。我解開后,得到了數字3。這樣,只有我們兩個人知 道這個秘密的數字3,別的人都不知道,因為他們既不知x挑了一個什么數字,加密后的內容他們也無法解開,我們把這個秘密的數字叫做會話密鑰。
然后,我們選擇一種對稱密鑰算法,比如DES,(對稱算法是說,加密過程和解密過程是對稱的,用一個密鑰加密,可以用同一個密鑰解密。使用公私鑰的算法是非對稱加密算法),來加密我們之間的通信內容。別人因為不知道3是我們的會話密鑰,因而無法解密。
好,復習一下:
1,SSL實現安全的通信
2,通信雙方使用一方或者雙方的公鑰來傳遞和約定會話密鑰 (這個過程叫做握手)
3,雙方使用會話密鑰,來加密雙方的通信內容
上面說的是原理。大家可能覺得比較復雜了,實際使用中,比這還要復雜。不過慶幸的是,好心的先行者們在操作系統或者相關的軟件中實現了這層(Layer),並且起了一個難聽的名字叫做SSL,(Secure Socket Layer)
ssl 雙向認證和單向認證原理
SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全(Transport Layer Security,TLS)是為網絡通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層對網絡連接進行加密。一般的應用都是單向認證,如果 應用場景要求對客戶來源做驗證也可以實現成雙向認證。
為 了便於更好的認識和理解 SSL 協議,這里着重介紹 SSL 協議的握手協議。SSL 協議既用到了公鑰加密技術又用到了對稱加密技術,對稱加密技術雖然比公鑰加密技術的速度快,可是公鑰加密技術提供了更好的身份認證技術。SSL 的握手協議非常有效的讓客戶和服務器之間完成相互之間的身份認證,其主要過程如下:
① 客戶端的瀏覽器向服務器傳送客戶端 SSL 協議的版本號,加密算法的種類,產生的隨機數,以及其他服務器和客戶端之間通訊所需要的各種信息。
② 服務器向客戶端傳送 SSL 協議的版本號,加密算法的種類,隨機數以及其他相關信息,同時服務器還將向客戶端傳送自己的證書。
③ 客戶利用服務器傳過來的信息驗證服務器的合法性,服務器的合法性包括:證書是否過期,發行服務器證書的 CA 是否可靠,發行者證書的公鑰能否正確解開服務器證書的“發行者的數字簽名”,服務器證書上的域名是否和服務器的實際域名相匹配。如果合法性驗證沒有通過, 通訊將斷開;如果合法性驗證通過,將繼續進行第四步。
④ 用戶端隨機產生一個用於后面通訊的“對稱密碼”,然后用服務器的公鑰(服務器的公鑰從步驟②中的服務器的證書中獲得)對其加密,然后將加密后的“預主密碼”傳給服務器。
⑤ 如果服務器要求客戶的身份認證(在握手過程中為可選),用戶可以建立一個隨機數然后對其進行數據簽名,將這個含有簽名的隨機數和客戶自己的證書以及加密過的“預主密碼”一起傳給服務器。
⑥ 如果服務器要求客戶的身份認證,服務器必須檢驗客戶證書和簽名隨機數的合法性,具體的合法性驗證過程包括:客戶的證書使用日期是否有效,為客戶提供證書的 CA 是否可靠,發行 CA 的公鑰能否正確解開客戶證書的發行 CA 的數字簽名,檢查客戶的證書是否在證書廢止列表(CRL)中。檢驗如果沒有通過,通訊立刻中斷;如果驗證通過,服務器將用自己的私鑰解開加密的“預主密 碼”,然后執行一系列步驟來產生主通訊密碼(客戶端也將通過同樣的方法產生相同的主通訊密碼)。
⑦ 服務器和客戶端用相同的主密碼即“通話密碼”,一個對稱密鑰用於 SSL 協議的安全數據通訊的加解密通訊。同時在 SSL 通訊過程中還要完成數據通訊的完整性,防止數據通訊中的任何變化。
⑧ 客戶端向服務器端發出信息,指明后面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰,同時通知服務器客戶端的握手過程結束。
⑨ 服務器向客戶端發出信息,指明后面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰,同時通知客戶端服務器端的握手過程結束。
⑩ SSL 的握手部分結束,SSL 安全通道的數據通訊開始,客戶和服務器開始使用相同的對稱密鑰進行數據通訊,同時進行通訊完整性的檢驗。
雙向認證 SSL 協議的具體過程
① 瀏覽器發送一個連接請求給安全服務器。
② 服務器將自己的證書,以及同證書相關的信息發送給客戶瀏覽器。
③ 客戶瀏覽器檢查服務器送過來的證書是否是由自己信賴的 CA 中心所簽發的。如果是,就繼續執行協議;如果不是,客戶瀏覽器就給客戶一個警告消息:警告客戶這個證書不是可以信賴的,詢問客戶是否需要繼續。
④ 接着客戶瀏覽器比較證書里的消息,例如域名和公鑰,與服務器剛剛發送的相關消息是否一致,如果是一致的,客戶瀏覽器認可這個服務器的合法身份。
⑤ 服務器要求客戶發送客戶自己的證書。收到后,服務器驗證客戶的證書,如果沒有通過驗證,拒絕連接;如果通過驗證,服務器獲得用戶的公鑰。
⑥ 客戶瀏覽器告訴服務器自己所能夠支持的通訊對稱密碼方案。
⑦ 服務器從客戶發送過來的密碼方案中,選擇一種加密程度最高的密碼方案,用客戶的公鑰加過密后通知瀏覽器。
⑧ 瀏覽器針對這個密碼方案,選擇一個通話密鑰,接着用服務器的公鑰加過密后發送給服務器。
⑨ 服務器接收到瀏覽器送過來的消息,用自己的私鑰解密,獲得通話密鑰。
⑩ 服務器、瀏覽器接下來的通訊都是用對稱密碼方案,對稱密鑰是加過密的。
上面所述的是雙向認證 SSL 協議的具體通訊過程,這種情況要求服務器和用戶雙方都有證書。單向認證 SSL 協議不需要客戶擁有 CA 證書,具體的過程相對於上面的步驟,只需將服務器端驗證客戶證書的過程去掉,以及在協商對稱密碼方案,對稱通話密鑰時,服務器發送給客戶的是沒有加過密的 (這並不影響 SSL 過程的安全性)密碼方案。 這樣,雙方具體的通訊內容,就是加過密的數據,如果有第三方攻擊,獲得的只是加密的數據,第三方要獲得有用的信息,就需要對加密的數據進行解密,這時候的 安全就依賴於密碼方案的安全。而幸運的是,目前所用的密碼方案,只要通訊密鑰長度足夠的長,就足夠的安全。這也是我們強調要求使用 128 位加密通訊的原因。
證書
OpenSSL建立自己的CA
(1) 環境准備
首先,需要准備一個目錄放置CA文件,包括頒發的證書和CRL(Certificate Revoke List)。
這里我們選擇目錄 /var/MyCA。
然后我們在/var/MyCA下建立兩個目錄,certs用來保存我們的CA頒發的所有的證書的副本;private用來保存CA證書的私鑰匙。
除了生成鑰匙,在我們的CA體系中還需要創建三個文件。第一個文件用來跟蹤最后一次頒發的證書的序列號,我們把它命名為serial,初始化為01。第二個文件是一個排序數據庫,用來跟蹤已經頒發的證書。我們把它命名為index.txt,文件內容為空。
$ mkdir /var/MyCA
$ cd /var/MyCA
$ mkdir certs private
$ chmod g-rwx,o-rwx private
$ echo "01" > serial
$ touch index.txt
第三個文件是OpenSSL的配置文件,創建起來要棘手點。示例如下:
$ touch openssl.cnf
文件內容如下:
[ ca ]
default_ca = myca
[ myca ]
dir = /var/MyCA
certificate = $dir/cacert.pem
database = $dir/index.txt
new_certs_dir = $dir/certs
private_key = $dir/private/cakey.pem
serial = $dir/serial
default_crl_days= 7
default_days = 365
default_md = md5
policy = myca_policy
x509_extensions = certificate_extensions
[ myca_policy ]
commonName = supplied
stateOrProvinceName = supplied
countryName = supplied
emailAddress = supplied
organizationName= supplied
organizationalUnitName = optional
[ certificate_extensions ]
basicConstraints= CA:false
[ req ]
default_bits = 2048
default_keyfile = /var/MyCA/private/cakey.pem
default_md = md5
prompt = no
distinguished_name = root_ca_distinguished_name
x509_extensions = root_ca_extensions
[ root_ca_distinguished_name ]
commonName = My Test CA
stateOrProvinceName = HZ
countryName = CN
emailAddress = test@cert.com
organizationName = Root Certification Authority
[ root_ca_extensions ]
basicConstraints = CA:true
(2) 生成根證書 (Root Certificate)
我們需要一個證書來為自己頒發的證書簽名,這個證書可從其他CA獲取,或者是自簽名的根證書。這里我們生成一個自簽名的根證書。
$ openssl req -x509 -newkey rsa -out cacert.pem -outform PEM -days 356 -config openssl.cnf
驗證一下我們生成的文件。
$ openssl x509 -in cacert.pem -text -noout
生成結果:
private/cakey.pem 是CA證書的私鑰文件,
cacert.pem 是CA證書。
制作用於CA簽名的CA的私鑰和公鑰文件
[root@localhostssl.crt]#openssl genrsa -des3 -out ca.key 1024
//要求為key文件輸入密碼(ca.key.password,隨便輸入,可以和輸入的PEM密碼不同)
[root@localhostssl.crt]#openssl req -new -x509 -days 18250-key ca.key -out ca.crt
//要求輸入密碼以及證書信息。輸入的密碼要與使用的key文件的密碼一致,否則會出錯。
同時需要輸入證書信息。以完成公鑰生成。
2、制作服務器證書
a、生成服務器私鑰(server.key)
[root@localhost ssl.crt]#openssl genrsa -des3 -out server.key 1024
輸入加密密碼(server.key.password),用128位rsa算法密鑰server.key文件
該密碼在部署客戶端密鑰時需要使用。
b、生成服務器證書請求(server.csr)
[root@localhost ssl.crt]#openssl req -new -key server.key -out server.csr
這里要求輸入的CommonName必須與通過瀏覽器訪問您網站的 URL 完全相同,否則用戶會發現您服務器證書的通用名與站點的名字不匹配,用戶就會懷疑您的證書的真實性。可以使域名也可以使IP地址。
c、生成服務器公鑰(證書)
[root@localhost ssl.crt]#openssl ca -in server.csr -days 18250 -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
d、查看和驗證證書信息
[root@localhost ssl.crt]#openssl x509 -noout -text -in server.crt //查看證書信息
[root@localhost ssl.crt]#openssl verify -CAfile ca.crt server.crt //驗證證書信息
一定要保證驗證通過,沒有報錯或警告信息。否則可能會在使用時出錯。
3、制作客戶端證書
a、生成客戶端私鑰(client.key)
[root@localhost ssl.crt]#openssl genrsa -des3 -out client.key 1024
輸入加密密碼(client.key.password),用128位rsa算法密鑰client.key文件
該密碼在部署客戶端密鑰時需要使用。
b、生成客戶端證書請求(client.csr)
[root@localhost conf]#openssl req -new -key client.key -out client.csr
Common Name 可以隨便取。
c、生成客戶端公鑰(證書)
[root@localhost ssl.crt]#openssl ca -in client.csr -days 18250 -out client.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
將證書轉換成瀏覽器可識別的格式:
[root@conf]#openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12
需要輸入Export密碼,可以和Key文件密碼不一樣。該密碼在客戶端部署KEY文件時需要使用。
d、
[root@localhost ssl.crt]#openssl x509 -noout -text -in client.crt //查看證書信息
[root@localhost ssl.crt]#openssl verify -CAfile ca.crt client.crt //驗證證書信息
一定要保證驗證通過,沒有報錯或警告信息。否則可能會在使用時出錯。
服務端編寫步驟
#include <stdio.h> #include <stdlib.h> #include <errno.h> #include <string.h> #include <sys/types.h> #include <netinet/in.h> #include <sys/socket.h> #include <sys/wait.h> #include <unistd.h> #include <arpa/inet.h> #include <openssl/ssl.h> #include <openssl/err.h> #define MAXBUF 1024 /************關於本文檔******************************************** *filename: ssl-server.c *purpose: 演示利用 OpenSSL 庫進行基於 IP層的 SSL 加密通訊的方法,這是服務器端例子 *wrote by: zhoulifa(zhoulifa@163.com) 周立發(http://zhoulifa.bokee.com) Linux愛好者 Linux知識傳播者 SOHO族 開發者 最擅長C語言 *date time:2007-02-02 19:40 *Note: 任何人可以任意復制代碼並運用這些文檔,當然包括你的商業用途 * 但請遵循GPL *Thanks to:Google *Hope:希望越來越多的人貢獻自己的力量,為科學技術發展出力 * 科技站在巨人的肩膀上進步更快!感謝有開源前輩的貢獻! *********************************************************************/ int main(int argc, char **argv) { int sockfd, new_fd; socklen_t len; struct sockaddr_in my_addr, their_addr; unsigned int myport, lisnum; char buf[MAXBUF + 1]; SSL_CTX *ctx; if (argv[1]) myport = atoi(argv[1]); else myport = 7838; if (argv[2]) lisnum = atoi(argv[2]); else lisnum = 2; /* SSL 庫初始化 */ SSL_library_init(); /* 載入所有 SSL 算法 */ OpenSSL_add_all_algorithms(); /* 載入所有 SSL 錯誤消息 */ SSL_load_error_strings(); /* 以 SSL V2 和 V3 標准兼容方式產生一個 SSL_CTX ,即 SSL Content Text */ ctx = SSL_CTX_new(SSLv23_server_method()); /* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 單獨表示 V2 或 V3標准 */ if (ctx == NULL) { ERR_print_errors_fp(stdout); exit(1); } /* 載入用戶的數字證書, 此證書用來發送給客戶端。 證書里包含有公鑰 */ if (SSL_CTX_use_certificate_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0) { ERR_print_errors_fp(stdout); exit(1); } /* 載入用戶私鑰 */ if (SSL_CTX_use_PrivateKey_file(ctx, argv[5], SSL_FILETYPE_PEM) <= 0) { ERR_print_errors_fp(stdout); exit(1); } /* 檢查用戶私鑰是否正確 */ if (!SSL_CTX_check_private_key(ctx)) { ERR_print_errors_fp(stdout); exit(1); } /* 開啟一個 socket 監聽 */ if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) { perror("socket"); exit(1); } else printf("socket created\n"); bzero(&my_addr, sizeof(my_addr)); my_addr.sin_family = PF_INET; my_addr.sin_port = htons(myport); if (argv[3]) my_addr.sin_addr.s_addr = inet_addr(argv[3]); else my_addr.sin_addr.s_addr = INADDR_ANY; if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr)) == -1) { perror("bind"); exit(1); } else printf("binded\n"); if (listen(sockfd, lisnum) == -1) { perror("listen"); exit(1); } else printf("begin listen\n"); while (1) { SSL *ssl; len = sizeof(struct sockaddr); /* 等待客戶端連上來 */ if ((new_fd = accept(sockfd, (struct sockaddr *) &their_addr, &len)) == -1) { perror("accept"); exit(errno); } else printf("server: got connection from %s, port %d, socket %d\n", inet_ntoa(their_addr.sin_addr), ntohs(their_addr.sin_port), new_fd); /* 基於 ctx 產生一個新的 SSL */ ssl = SSL_new(ctx); /* 將連接用戶的 socket 加入到 SSL */ SSL_set_fd(ssl, new_fd); /* 建立 SSL 連接 */ if (SSL_accept(ssl) == -1) { perror("accept"); close(new_fd); break; } /* 開始處理每個新連接上的數據收發 */ bzero(buf, MAXBUF + 1); strcpy(buf, "server->client"); /* 發消息給客戶端 */ len = SSL_write(ssl, buf, strlen(buf)); if (len <= 0) { printf ("消息'%s'發送失敗!錯誤代碼是%d,錯誤信息是'%s'\n", buf, errno, strerror(errno)); goto finish; } else printf("消息'%s'發送成功,共發送了%d個字節!\n", buf, len); bzero(buf, MAXBUF + 1); /* 接收客戶端的消息 */ len = SSL_read(ssl, buf, MAXBUF); if (len > 0) printf("接收消息成功:'%s',共%d個字節的數據\n", buf, len); else printf ("消息接收失敗!錯誤代碼是%d,錯誤信息是'%s'\n", errno, strerror(errno)); /* 處理每個新連接上的數據收發結束 */ finish: /* 關閉 SSL 連接 */ SSL_shutdown(ssl); /* 釋放 SSL */ SSL_free(ssl); /* 關閉 socket */ close(new_fd); } /* 關閉監聽的 socket */ close(sockfd); /* 釋放 CTX */ SSL_CTX_free(ctx); return 0; }
客戶端編寫步驟
#include <string.h> #include <errno.h> #include <sys/socket.h> #include <resolv.h> #include <stdlib.h> #include <netinet/in.h> #include <arpa/inet.h> #include <unistd.h> #include <openssl/ssl.h> #include <openssl/err.h> #define MAXBUF 1024 void ShowCerts(SSL * ssl) { X509 *cert; char *line; cert = SSL_get_peer_certificate(ssl); if (cert != NULL) { printf("數字證書信息:\n"); line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0); printf("證書: %s\n", line); free(line); line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0); printf("頒發者: %s\n", line); free(line); X509_free(cert); } else printf("無證書信息!\n"); } /************關於本文檔******************************************** *filename: ssl-client.c *purpose: 演示利用 OpenSSL 庫進行基於 IP層的 SSL 加密通訊的方法,這是客戶端例子 *wrote by: zhoulifa(zhoulifa@163.com) 周立發(http://zhoulifa.bokee.com) Linux愛好者 Linux知識傳播者 SOHO族 開發者 最擅長C語言 *date time:2007-02-02 20:10 *Note: 任何人可以任意復制代碼並運用這些文檔,當然包括你的商業用途 * 但請遵循GPL *Thanks to:Google *Hope:希望越來越多的人貢獻自己的力量,為科學技術發展出力 * 科技站在巨人的肩膀上進步更快!感謝有開源前輩的貢獻! *********************************************************************/ int main(int argc, char **argv) { int sockfd, len; struct sockaddr_in dest; char buffer[MAXBUF + 1]; SSL_CTX *ctx; SSL *ssl; if (argc != 3) { printf ("參數格式錯誤!正確用法如下:\n\t\t%s IP地址 端口\n\t比如:\t%s 127.0.0.1 80 \n此程序用來從某個 IP 地址的服務器某個端口接收最多 MAXBUF 個字節的消息", argv[0], argv[0]); exit(0); } /* SSL 庫初始化,參看 ssl-server.c 代碼 */ SSL_library_init(); OpenSSL_add_all_algorithms(); SSL_load_error_strings(); ctx = SSL_CTX_new(SSLv23_client_method()); if (ctx == NULL) { ERR_print_errors_fp(stdout); exit(1); } /* 創建一個 socket 用於 tcp 通信 */ if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) { perror("Socket"); exit(errno); } printf("socket created\n"); /* 初始化服務器端(對方)的地址和端口信息 */ bzero(&dest, sizeof(dest)); dest.sin_family = AF_INET; dest.sin_port = htons(atoi(argv[2])); if (inet_aton(argv[1], (struct in_addr *) &dest.sin_addr.s_addr) == 0) { perror(argv[1]); exit(errno); } printf("address created\n"); /* 連接服務器 */ if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) { perror("Connect "); exit(errno); } printf("server connected\n"); /* 基於 ctx 產生一個新的 SSL */ ssl = SSL_new(ctx); SSL_set_fd(ssl, sockfd); /* 建立 SSL 連接 */ if (SSL_connect(ssl) == -1) ERR_print_errors_fp(stderr); else { printf("Connected with %s encryption\n", SSL_get_cipher(ssl)); ShowCerts(ssl); } /* 接收對方發過來的消息,最多接收 MAXBUF 個字節 */ bzero(buffer, MAXBUF + 1); /* 接收服務器來的消息 */ len = SSL_read(ssl, buffer, MAXBUF); if (len > 0) printf("接收消息成功:'%s',共%d個字節的數據\n", buffer, len); else { printf ("消息接收失敗!錯誤代碼是%d,錯誤信息是'%s'\n", errno, strerror(errno)); goto finish; } bzero(buffer, MAXBUF + 1); strcpy(buffer, "from client->server"); /* 發消息給服務器 */ len = SSL_write(ssl, buffer, strlen(buffer)); if (len < 0) printf ("消息'%s'發送失敗!錯誤代碼是%d,錯誤信息是'%s'\n", buffer, errno, strerror(errno)); else printf("消息'%s'發送成功,共發送了%d個字節!\n", buffer, len); finish: /* 關閉連接 */ SSL_shutdown(ssl); SSL_free(ssl); close(sockfd); SSL_CTX_free(ctx); return 0; }