रेल ऐप पर रूबी में क्लाइंट एसएसएल का उपयोग

Question

मैं एक ऐसे क्लाइंट के लिए एक ऐप पर काम कर रहा हूं जिसके लिए एपीआई के साथ एक एसएसएल कनेक्शन की आवश्यकता है। मुझे तीन फाइलों के साथ प्रदान किया गया है; एक ट्रस्ट रूट प्रमाणपत्र (.cer) फ़ाइल, एक मध्यवर्ती प्रमाणपत्र (.cer) फ़ाइल और एक हस्ताक्षरित प्रतिक्रिया फ़ाइल। इसे स्थापित करने के लिए दिए गए निर्देश IIS या Java keytool प्रोग्राम से संबंधित हैं; मैं रूबी पर रूबी में ऐप का निर्माण कर रहा हूं इसलिए न तो एक विकल्प है (जहां तक ​​मुझे पता है)।

प्रमाण पत्र संगठन द्वारा स्वयं हस्ताक्षरित हैं जो एपीआई सेवा चलाते हैं और ऐसा प्रतीत होता है कि मुझे पारस्परिक रूप से एक https कनेक्शन प्रमाणीकृत करने के लिए क्लाइंट प्रमाण पत्र दिए जाते हैं। मैं अनिश्चित हूँ कैसे

1. उपयोग अपने आवेदन में प्रमाण पत्र कनेक्ट और एपीआई

मैं "Using a self-signed certificate" और this article on OpenSSL in Ruby पढ़ा है क्या हस्ताक्षर किए प्रतिक्रिया फ़ाइल करता है उपयोग करने के लिए लेकिन न तो लगता है काफी जगह पर मारा (और दोनों जावा/जेआरबी पर कुछ निर्भरता है जो चीजों को भ्रमित करता है)।

किसी भी पॉइंटर्स की बहुत सराहना की जाएगी।

Answer 1

अपनी टिप्पणी के आधार पर मैं यह सोचते हैं रहा है कि प्रमाण पत्र डीईआर प्रारूप है, जो आप openssl x509 आदेश (देखें: openssl x509 command): साथ पीईएम के लिए परिवर्तित कर सकते हैं कर रहे हैं

openssl x509 -inform DER -outform PEM -in certfile.cer -out certfile.pem 

उसके बाद, आप निर्देश दे सकते हैं रूबी OpenSSL पुस्तकालय कुछ इस तरह के साथ SSL कनेक्शन प्रमाणित करने के लिए विश्वसनीय रूट प्रमाणपत्र का उपयोग करने:

require 'socket' 
require 'openssl' 

tcp_sock = TCPSocket.new("my.host.tld", 443) 
ctx = OpenSSL::SSL::SSLContext.new 
ctx.verify_mode = OpenSSL::SSL::VERIFY_PEER|OpenSSL::SSL::VERIFY_FAIL_IF_NO_PEER_CERT 
#You may need to specify the absolute path to the file 
ctx.ca_file = "certfile.pem" 

ssl_sock = OpenSSL::SSL::SSLSocket.new(tcp_sock, ctx) 
ssl_sock.sync_close = true 
ssl_sock.connect 
begin 
    ssl_sock.post_connection_check('my.host.tld') 
rescue 
    puts "Certificate host did not match expected hostname" 
end 

उसके बाद, आप पढ़ सकते हैं और किसी भी अन्य रूबी आईओ वस्तु की तरह ssl_sock में लिखने के लिए सक्षम होना चाहिए।

ctx.cert = OpenSSL::X509::Certificate.new(File.read("my_cert.pem")) 
ctx.key = OpenSSL::PKey::RSA.new(File.read("my_key.rsa")) 

इससे पहले कि आप ssl_sock बनाने के लिए: यदि आप सर्वर में प्रमाणित करने में अनुमति देने के लिए उपयोग करने के लिए क्लाइंट प्रमाणपत्र दिया जाता है, तो आप के साथ SSL संदर्भ कॉन्फ़िगर कर सकते हैं।

अंत में, सलाह के एक पिछले टुकड़ा, यदि आप एक RESTful API तक पहुँच रहे हैं, तो आप rest-client की तरह एक मणि का उपयोग कर विचार कर सकते हैं: OpenSSL पुस्तकालय भी इस तरह के DSA (। OpenSSL::PKey module देखें) के रूप में आरएसए के अलावा अन्य प्रमुख प्रकार, का समर्थन करता है सभी HTTP/एस कनेक्शन सामग्री को सीधे संभालने के बजाय। चाहे ऐसी लाइब्रेरी उपयुक्त या उपयोगी हो, वह उस सेवा पर निर्भर करेगी जिसका आप उपयोग कर रहे हैं।