模块 OpenSSL::SSL
使用 SSLContext
来设置 TLS(之前的 SSL
)连接的参数。支持客户端和服务器 TLS 连接,SSLSocket
和 SSLServer
可以与 SSLContext
的实例一起使用来建立连接。
常量
- OP_ALL
- OP_ALLOW_CLIENT_RENEGOTIATION
- OP_ALLOW_NO_DHE_KEX
- OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION
- OP_CIPHER_SERVER_PREFERENCE
- OP_CISCO_ANYCONNECT
- OP_CLEANSE_PLAINTEXT
- OP_COOKIE_EXCHANGE
- OP_CRYPTOPRO_TLSEXT_BUG
- OP_DISABLE_TLSEXT_CA_NAMES
- OP_DONT_INSERT_EMPTY_FRAGMENTS
- OP_ENABLE_KTLS
- OP_ENABLE_MIDDLEBOX_COMPAT
- OP_EPHEMERAL_RSA
在
OpenSSL
1.0.1k 和 1.0.2 中已弃用。- OP_IGNORE_UNEXPECTED_EOF
- OP_LEGACY_SERVER_CONNECT
- OP_MICROSOFT_BIG_SSLV3_BUFFER
在
OpenSSL
1.1.0 中已弃用。- OP_MICROSOFT_SESS_ID_BUG
在
OpenSSL
1.1.0 中已弃用。- OP_MSIE_SSLV2_RSA_PADDING
在
OpenSSL
0.9.7h 和 0.9.8b 中已弃用。- OP_NETSCAPE_CA_DN_BUG
在
OpenSSL
1.1.0 中已弃用。- OP_NETSCAPE_CHALLENGE_BUG
在
OpenSSL
1.1.0 中已弃用。- OP_NETSCAPE_DEMO_CIPHER_CHANGE_BUG
在
OpenSSL
1.1.0 中已弃用。- OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG
在
OpenSSL
0.9.8q 和 1.0.0c 中已弃用。- OP_NO_ANTI_REPLAY
- OP_NO_COMPRESSION
- OP_NO_ENCRYPT_THEN_MAC
- OP_NO_QUERY_MTU
- OP_NO_RENEGOTIATION
- OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION
- OP_NO_SSLv2
在
OpenSSL
1.1.0 中已弃用。- OP_NO_SSLv3
- OP_NO_TICKET
- OP_NO_TLSv1
- OP_NO_TLSv1_1
- OP_NO_TLSv1_2
- OP_NO_TLSv1_3
- OP_PKCS1_CHECK_1
在
OpenSSL
1.0.1 中已弃用。- OP_PKCS1_CHECK_2
在
OpenSSL
1.0.1 中已弃用。- OP_PRIORITIZE_CHACHA
- OP_SAFARI_ECDHE_ECDSA_BUG
- OP_SINGLE_DH_USE
在
OpenSSL
1.1.0 中已弃用。- OP_SINGLE_ECDH_USE
在
OpenSSL
1.1.0 中已弃用。- OP_SSLEAY_080_CLIENT_DH_BUG
在
OpenSSL
1.1.0 中已弃用。- OP_SSLREF2_REUSE_CERT_TYPE_BUG
在
OpenSSL
1.0.1h 和 1.0.2 中已弃用。- OP_TLSEXT_PADDING
- OP_TLS_BLOCK_PADDING_BUG
在
OpenSSL
1.1.0 中已弃用。- OP_TLS_D5_BUG
在
OpenSSL
1.1.0 中已弃用。- OP_TLS_ROLLBACK_BUG
- SSL2_VERSION
SSL
2.0- SSL3_VERSION
SSL
3.0- TLS1_1_VERSION
TLS 1.1
- TLS1_2_VERSION
TLS 1.2
- TLS1_3_VERSION
TLS 1.3
- TLS1_VERSION
TLS 1.0
- VERIFY_CLIENT_ONCE
- VERIFY_FAIL_IF_NO_PEER_CERT
- VERIFY_NONE
- VERIFY_PEER
公共类方法
verify_certificate_identity(cert, hostname) 单击以切换源代码
# File openssl/lib/openssl/ssl.rb, line 313 def verify_certificate_identity(cert, hostname) should_verify_common_name = true cert.extensions.each{|ext| next if ext.oid != "subjectAltName" ostr = OpenSSL::ASN1.decode(ext.to_der).value.last sequence = OpenSSL::ASN1.decode(ostr.value) sequence.value.each{|san| case san.tag when 2 # dNSName in GeneralName (RFC5280) should_verify_common_name = false return true if verify_hostname(hostname, san.value) when 7 # iPAddress in GeneralName (RFC5280) should_verify_common_name = false if san.value.size == 4 || san.value.size == 16 begin return true if san.value == IPAddr.new(hostname).hton rescue IPAddr::InvalidAddressError end end end } } if should_verify_common_name cert.subject.to_a.each{|oid, value| if oid == "CN" return true if verify_hostname(hostname, value) end } end return false end
私有实例方法
verify_certificate_identity(cert, hostname) 单击以切换源代码
# File openssl/lib/openssl/ssl.rb, line 313 def verify_certificate_identity(cert, hostname) should_verify_common_name = true cert.extensions.each{|ext| next if ext.oid != "subjectAltName" ostr = OpenSSL::ASN1.decode(ext.to_der).value.last sequence = OpenSSL::ASN1.decode(ostr.value) sequence.value.each{|san| case san.tag when 2 # dNSName in GeneralName (RFC5280) should_verify_common_name = false return true if verify_hostname(hostname, san.value) when 7 # iPAddress in GeneralName (RFC5280) should_verify_common_name = false if san.value.size == 4 || san.value.size == 16 begin return true if san.value == IPAddr.new(hostname).hton rescue IPAddr::InvalidAddressError end end end } } if should_verify_common_name cert.subject.to_a.each{|oid, value| if oid == "CN" return true if verify_hostname(hostname, value) end } end return false end