Lua: как получить информацию о клиенте после успешной аутентификации клиента с помощью LuaSec

Question

Я использую стандартный пример oneshot (см. Ниже) из LuaSec 0.4 для реализации двусторонней аутентификации.Аутентификация прошла успешно, поэтому, очевидно, центр сертификации (ЦС) признает, что равноправные узлы - это те, кем они себя называют.

Но как я могу увидеть, на что претендуют узлы?Например, как я могу проверить название организации сертификата пира?Поскольку, хотя клиент теперь может доверять тому, что сервер известен ЦС, клиент не знает, действительно ли сервер является правильным узлом.
И наоборот: сервер знает, что клиент подключения известенCA.Но ЦС знает многих клиентов, так как же сервер может узнать, какой клиент подключен?

-------- For the sake of completeness
-------  server code: 
require("socket")
require("ssl")
local params = {
   mode = "server",
   protocol = "sslv3",
   key = "../certs/serverAkey.pem",
   certificate = "../certs/serverA.pem",
   cafile = "../certs/rootA.pem",
   verify = {"peer", "fail_if_no_peer_cert"},
   options = {"all", "no_sslv2"},
}
-- SSL context
local ctx = assert(ssl.newcontext(params))

local server = socket.tcp()
server:setoption('reuseaddr', true)
assert( server:bind("127.0.0.1", 8888) )
server:listen()
local peer = server:accept()
-- SSL wrapper
peer = assert( ssl.wrap(peer, ctx) )
assert( peer:dohandshake() )

local fd = peer:getfd()
peer:send("oneshot test\n")
peer:close()

-------  client code:
require("socket")
require("ssl")
local params = {
   mode = "client",
   protocol = "sslv3",
   key = "../certs/clientAkey.pem",
   certificate = "../certs/clientA.pem",
   cafile = "../certs/rootA.pem",
   verify = {"peer", "fail_if_no_peer_cert"},
   options = {"all", "no_sslv2"},
}
local peer = socket.tcp()
peer:connect("127.0.0.1", 8888)
-- SSL wrapper
peer = assert( ssl.wrap(peer, params) )
assert(peer:dohandshake())
print(peer:receive("*l"))
peer:close()

Answer 1

По состоянию на 0.4 LuaSec не предоставляет API для получения / декодирования сертификатов. Поскольку мы используем LuaSec на сервере Prosody XMPP, а XMPP также может использовать сертификаты TLS + для аутентификации, мы взломали LuaSec для поддержки API-интерфейсов для этого.

Наша работа еще не объединена, но, надеюсь, скоро. А пока вы можете найти его здесь: http://code.matthewwild.co.uk/luasec-hg

Получение сертификата удаленного объекта так же просто, как:

   cert = conn:getpeercertificate()

Возвращает объект сертификата X509 с различными методами, такими как: subject (),: Issue () и: extensions ().

Некоторые API-интерфейсы, вероятно, изменятся по мере завершения работы над кодом, но вы можете связаться со мной, если у вас возникнут какие-либо проблемы.

Answer 2

К сожалению, похоже, в настоящее время нет способа получить удостоверение личности / проверить сертификат в LuaSec. Это очень простая привязка (с точки зрения API, а не функциональности) для подключения к защищенным серверам.

Чтобы получить сертификат, проще всего изменить LuaSec и добавить функцию, подобную getpeercert(), которая внутренне использует SSL_get_peer_certificate(const SSL *ssl) и возвращает таблицу Lua с основными записями.