GmSSL3实战:5分钟搞定SM2证书生成与TLS配置(附完整脚本)
GmSSL3实战:5分钟搞定SM2证书生成与TLS配置(附完整脚本)
国密算法在金融、政务等领域的应用越来越广泛,而GmSSL作为支持国密算法的开源密码库,已经成为开发者必备的工具之一。本文将带你快速掌握GmSSL3的核心用法,从SM2证书生成到TLS配置,全程只需5分钟即可完成。
1. 环境准备与GmSSL安装
在开始之前,我们需要确保系统环境已经准备好。GmSSL支持Linux、macOS和Windows平台,但本文以Ubuntu为例进行演示。
首先安装必要的编译工具:
sudo apt update sudo apt install -y build-essential git cmake接下来从GitHub克隆GmSSL源码并编译安装:
git clone https://github.com/guanzhi/GmSSL.git cd GmSSL mkdir build cd build cmake .. make sudo make install安装完成后,验证GmSSL是否安装成功:
gmssl version如果看到类似"GmSSL 3.x.x"的输出,说明安装成功。GmSSL提供了丰富的命令行工具,可以通过gmssl help查看所有支持的命令。
2. SM2证书链快速生成
国密SSL环境需要完整的证书链,包括根证书、签名证书和加密证书。下面是一个自动化生成脚本,保存为generate_certs.sh:
#!/bin/bash # 清理旧文件 rm -f *.crt *.pem *.key # 生成根证书 gmssl sm2keygen -pass 123456 -out ca.key -pubout ca_pub.key gmssl certgen -C CN -ST Beijing -L Haidian -O MyOrg -OU Dev -CN RootCA \ -days 3650 -key ca.key -key_usage keyCertSign -pass 123456 -out ca.crt # 生成签名证书 gmssl sm2keygen -pass 123456 -out sign.key -pubout sign_pub.key gmssl reqgen -C CN -ST Beijing -L Haidian -O MyOrg -OU Dev -CN ServerSign \ -key sign.key -pass 123456 -out sign_req.pem gmssl reqsign -in sign_req.pem -days 3650 -key_usage digitalSignature \ -cacert ca.crt -key ca.key -pass 123456 -out sign.crt # 生成加密证书 gmssl sm2keygen -pass 123456 -out enc.key -pubout enc_pub.key gmssl reqgen -C CN -ST Beijing -L Haidian -O MyOrg -OU Dev -CN ServerEnc \ -key enc.key -pass 123456 -out enc_req.pem gmssl reqsign -in enc_req.pem -days 3650 -key_usage keyEncipherment \ -cacert ca.crt -key ca.key -pass 123456 -out enc.crt # 合并服务端证书 cat sign.crt enc.crt > server.crt给脚本添加执行权限并运行:
chmod +x generate_certs.sh ./generate_certs.sh脚本执行后会生成以下文件:
ca.crt:根证书ca.key:根证书私钥sign.crt:签名证书sign.key:签名证书私钥enc.crt:加密证书enc.key:加密证书私钥server.crt:合并后的服务端证书
3. TLS服务端与客户端配置
有了证书文件后,我们可以配置TLS服务端和客户端进行通信测试。
3.1 启动TLCP服务端
gmssl tlcp_server -port 4433 -cert server.crt \ -key sign.key -pass 123456 \ -ex_key enc.key -ex_pass 123456服务端启动后会监听4433端口,等待客户端连接。
3.2 启动TLCP客户端
在另一个终端中运行客户端:
gmssl tlcp_client -host 127.0.0.1 -port 4433连接建立后,客户端会显示"Connection established!",此时可以输入任意内容,服务端会将其回显。
4. 常见问题与解决方案
在实际使用GmSSL过程中,可能会遇到一些问题,以下是几个常见问题及其解决方法:
问题1:证书验证失败
- 检查证书链是否完整
- 确保证书的有效期和用途正确
- 使用
gmssl certverify命令验证证书链
问题2:私钥密码错误
- 确保在命令行中指定的密码与生成证书时使用的密码一致
- 如果忘记密码,需要重新生成证书
问题3:端口冲突
- 使用
netstat -tulnp查看端口占用情况 - 修改
-port参数使用其他端口
问题4:算法不支持
- 确认GmSSL版本是否支持所需算法
- 使用
gmssl list -algorithms查看支持的算法列表
5. 进阶配置与优化
对于生产环境,还需要考虑以下配置:
5.1 密码套件配置
GmSSL支持多种密码套件,可以通过-cipher参数指定:
gmssl tlcp_server -port 4433 -cert server.crt \ -key sign.key -pass 123456 \ -ex_key enc.key -ex_pass 123456 \ -cipher "ECC-SM2-SM4-CBC-SM3"5.2 性能优化
对于高并发场景,可以调整以下参数:
-naccept:设置最大并发连接数-bufsize:调整缓冲区大小-timeout:设置超时时间
5.3 日志与调试
启用调试模式可以获取更详细的连接信息:
gmssl tlcp_server -port 4433 -cert server.crt \ -key sign.key -pass 123456 \ -ex_key enc.key -ex_pass 123456 \ -debug调试信息会显示握手过程、证书验证等细节,有助于排查问题。