類別 DRb::DRbSSLSocket::SSLConfig
SSLConfig
處理建立 DRbSSLSocket
連線所需的 SSL 資訊,包括產生 X509 / RSA 配對。
此設定實例可以傳遞給 DRbSSLSocket.new
、DRbSSLSocket.open
和 DRbSSLSocket.open_server
有關更多詳細資訊,請參閱 DRb::DRbSSLSocket::SSLConfig.new
常數
- DEFAULT
SSLConfig
實例的預設值。有關更多詳細資訊,請參閱
DRb::DRbSSLSocket::SSLConfig.new
公開類別方法
建立新的 DRb::DRbSSLSocket::SSLConfig
實例
DRb::DRbSSLSocket
會採用 config
Hash
或 SSLConfig
實例,並會為設定的會話設定憑證。如果要產生一般憑證,最低限度必須提供 :SSLCertName
設定選項¶ ↑
從 config
Hash
- :SSLCertificate
-
OpenSSL::X509::Certificate
實例。如果未提供此項,則會產生一般 X509,並附有對應的 :SSLPrivateKey - :SSLPrivateKey
-
私密金鑰實例,例如
OpenSSL::PKey::RSA
。此金鑰必須是簽署 :SSLCertificate 的金鑰 - :SSLClientCA
-
OpenSSL::X509::Certificate
或Array
的憑證,將用於 SSL Context 中的 ClientCA - :SSLCACertificatePath
-
CA 憑證目錄的路徑。憑證必須採用 PEM 格式。
- :SSLCACertificateFile
-
PEM 格式的 CA 憑證檔案路徑。
- :SSLTmpDhCallback
-
DH 回呼。請參閱
OpenSSL::SSL::SSLContext.tmp_dh_callback
- :SSLMinVersion
-
這是允許的最小 SSL 版本。請參閱
OpenSSL::SSL::SSLContext#min_version=
。 - :SSLMaxVersion
-
這是允許的最大 SSL 版本。請參閱
OpenSSL::SSL::SSLContext#max_version=
。 - :SSLVerifyMode
-
這是 SSL 驗證模式。請參閱 OpenSSL::SSL::VERIFY_* 以取得可用的模式。預設為 OpenSSL::SSL::VERIFY_NONE
- :SSLVerifyDepth
-
驗證憑證鏈時要走訪的 CA 憑證數量。
- :SSLVerifyCallback
-
用於額外驗證的回呼。請參閱
OpenSSL::SSL::SSLContext.verify_callback
- :SSLCertificateStore
-
用於驗證憑證的
OpenSSL::X509::Store
- :SSLCertName
-
憑證的發行者名稱。在產生憑證時需要這個 (如果未提供 :SSLCertificate 和 :SSLPrivateKey)。其值必須是成對的
Array
[["C", "Raleigh"], ["ST","North Carolina"], ["CN","fqdn.example.com"]]
另請參閱
OpenSSL::X509::Name
- :SSLCertComment
-
用於產生憑證的註解。預設為「由 Ruby/OpenSSL 產生」
範例¶ ↑
這些值可以在事後新增,就像 Hash
一樣。
require 'drb/ssl' c = DRb::DRbSSLSocket::SSLConfig.new {} c[:SSLCertificate] = OpenSSL::X509::Certificate.new(File.read('mycert.crt')) c[:SSLPrivateKey] = OpenSSL::PKey::RSA.new(File.read('mycert.key')) c[:SSLVerifyMode] = OpenSSL::SSL::VERIFY_PEER c[:SSLCACertificatePath] = "/etc/ssl/certs/" c.setup_certificate
或
require 'drb/ssl' c = DRb::DRbSSLSocket::SSLConfig.new({ :SSLCertName => [["CN" => DRb::DRbSSLSocket.getservername]] }) c.setup_certificate
# File lib/drb/ssl.rb, line 135 def initialize(config) @config = config @cert = config[:SSLCertificate] @pkey = config[:SSLPrivateKey] @ssl_ctx = nil end
公開實例方法
一個方便的方法,用來像 Hash
一樣存取值。
# File lib/drb/ssl.rb, line 143 def [](key); @config[key] || DEFAULT[key] end
接受連線至 IO
tcp
,使用目前的憑證組態的內容
# File lib/drb/ssl.rb, line 158 def accept(tcp) ssl = OpenSSL::SSL::SSLSocket.new(tcp, @ssl_ctx) ssl.sync = true ssl.accept ssl end
連線至 IO
tcp
,使用目前的憑證組態的內容
# File lib/drb/ssl.rb, line 149 def connect(tcp) ssl = ::OpenSSL::SSL::SSLSocket.new(tcp, @ssl_ctx) ssl.sync = true ssl.connect ssl end
確保已提供 :SSLCertificate 和 :SSLPrivateKey,或使用提供的其他參數產生新的憑證。
# File lib/drb/ssl.rb, line 168 def setup_certificate if @cert && @pkey return end rsa = OpenSSL::PKey::RSA.new(2048){|p, n| next unless self[:verbose] case p when 0; $stderr.putc "." # BN_generate_prime when 1; $stderr.putc "+" # BN_generate_prime when 2; $stderr.putc "*" # searching good prime, # n = #of try, # but also data from BN_generate_prime when 3; $stderr.putc "\n" # found good prime, n==0 - p, n==1 - q, # but also data from BN_generate_prime else; $stderr.putc "*" # BN_generate_prime end } cert = OpenSSL::X509::Certificate.new cert.version = 3 cert.serial = 0 name = OpenSSL::X509::Name.new(self[:SSLCertName]) cert.subject = name cert.issuer = name cert.not_before = Time.now cert.not_after = Time.now + (365*24*60*60) cert.public_key = rsa.public_key ef = OpenSSL::X509::ExtensionFactory.new(nil,cert) cert.extensions = [ ef.create_extension("basicConstraints","CA:FALSE"), ef.create_extension("subjectKeyIdentifier", "hash") ] ef.issuer_certificate = cert cert.add_extension(ef.create_extension("authorityKeyIdentifier", "keyid:always,issuer:always")) if comment = self[:SSLCertComment] cert.add_extension(ef.create_extension("nsComment", comment)) end cert.sign(rsa, "SHA256") @cert = cert @pkey = rsa end
使用提供的組態參數建立 OpenSSL::SSL::SSLContext
。
# File lib/drb/ssl.rb, line 215 def setup_ssl_context ctx = ::OpenSSL::SSL::SSLContext.new ctx.cert = @cert ctx.key = @pkey ctx.min_version = self[:SSLMinVersion] ctx.max_version = self[:SSLMaxVersion] ctx.client_ca = self[:SSLClientCA] ctx.ca_path = self[:SSLCACertificatePath] ctx.ca_file = self[:SSLCACertificateFile] ctx.tmp_dh_callback = self[:SSLTmpDhCallback] ctx.verify_mode = self[:SSLVerifyMode] ctx.verify_depth = self[:SSLVerifyDepth] ctx.verify_callback = self[:SSLVerifyCallback] ctx.cert_store = self[:SSLCertificateStore] @ssl_ctx = ctx end