Sử dụng ứng dụng khách SSL trong ứng dụng Ruby on Rails

Question

Tôi đang làm việc trên ứng dụng cho ứng dụng khách yêu cầu kết nối SSL với API. Tôi đã được cung cấp ba tập tin; tệp chứng chỉ gốc tin cậy (.cer), tệp chứng chỉ trung gian (.cer) và tệp phản hồi đã ký. Các hướng dẫn tôi đã được đưa ra để cài đặt liên quan này đến IIS hoặc chương trình keytool Java; Tôi đang xây dựng ứng dụng trong Ruby on Rails vì vậy không phải là một tùy chọn (theo như tôi biết).

Chứng chỉ được ký tự bởi tổ chức đang điều hành dịch vụ API và có vẻ như tôi nhận được chứng chỉ ứng dụng khách để xác thực lẫn nhau kết nối https. Tôi không chắc chắn làm thế nào để

1. sử dụng giấy chứng nhận trong ứng dụng của tôi để kết nối và sử dụng API
2. những gì các tệp biên bản có chữ ký không

Tôi đã đọc "Using a self-signed certificate" và this article on OpenSSL in Ruby nhưng không phải dường như khá nhấn tại chỗ (và cả hai đều có một số phụ thuộc vào Java/JRuby gây nhầm lẫn mọi thứ).

Mọi con trỏ sẽ được đánh giá cao.

Answer 1

Dựa trên ý kiến ​​của bạn, tôi giả định rằng các chứng chỉ có định dạng DER, mà bạn có thể chuyển đổi sang PEM với openssl x509 lệnh (xem: openssl x509 command):

openssl x509 -inform DER -outform PEM -in certfile.cer -out certfile.pem 

Sau đó, bạn có thể hướng dẫn thư viện của Ruby OpenSSL để sử dụng chứng chỉ gốc tin cậy để xác thực các kết nối SSL với một cái gì đó như thế này:

require 'socket' 
require 'openssl' 

tcp_sock = TCPSocket.new("my.host.tld", 443) 
ctx = OpenSSL::SSL::SSLContext.new 
ctx.verify_mode = OpenSSL::SSL::VERIFY_PEER|OpenSSL::SSL::VERIFY_FAIL_IF_NO_PEER_CERT 
#You may need to specify the absolute path to the file 
ctx.ca_file = "certfile.pem" 

ssl_sock = OpenSSL::SSL::SSLSocket.new(tcp_sock, ctx) 
ssl_sock.sync_close = true 
ssl_sock.connect 
begin 
    ssl_sock.post_connection_check('my.host.tld') 
rescue 
    puts "Certificate host did not match expected hostname" 
end 

Sau đó, bạn sẽ có thể đọc và ghi vào ssl_sock giống như bất kỳ đối tượng của Ruby IO khác. Nếu bạn có một giấy chứng nhận của khách hàng sử dụng để cho phép các máy chủ để xác thực bạn, bạn có thể cấu hình các bối cảnh SSL với:

ctx.cert = OpenSSL::X509::Certificate.new(File.read("my_cert.pem")) 
ctx.key = OpenSSL::PKey::RSA.new(File.read("my_key.rsa")) 

trước khi bạn tạo ssl_sock. Thư viện OpenSSL cũng hỗ trợ các loại khóa khác ngoài RSA, chẳng hạn như DSA (xem: OpenSSL::PKey module.)

Cuối cùng, một lời khuyên cuối cùng, nếu bạn đang truy cập RESTful API, bạn có thể cân nhắc sử dụng một viên đá quý như rest-client thay vì xử lý tất cả các công cụ kết nối HTTP/S trực tiếp. Có hay không một thư viện như vậy là thích hợp hoặc hữu ích sẽ phụ thuộc vào dịch vụ bạn đang sử dụng, tất nhiên.