Microsoft MVP성태의 닷넷 이야기
.NET Framework: 714. SSL Socket 예제 - C/C++ 서버, C# 클라이언트 [링크 복사], [링크+제목 복사]
조회: 12395
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일

SSL Socket 예제 - C/C++ 서버, C# 클라이언트

보안이 취약한 소켓 통신을 HTTPS 웹 사이트처럼 통신하도록 만들어 주는 것이 바로 SSL Socket입니다. 사실 구현이 그리 어렵지도 않습니다. 왜냐하면 OpenSSL 라이브러리에서 대부분의 작업을 맡아서 해주기 때문입니다.

저도 예제 삼아서 SSL Socket을 서버는 C/C++로, 클라이언트는 C#으로 한번 해봤습니다.

순서 상, 서버 먼저 만들어 볼 텐데요, C/C++ 프로젝트에서는 OpenSSL의 도움이 절대적입니다. 따라서 지난 글에 소개한 vcpkg를 이용해 OpenSSL 패키지를 로컬에 구성합니다.

오픈 소스 라이브러리를 쉽게 빌드해 주는 "C++ Package Manager for Windows: vcpkg"
; https://www.sysnet.pe.kr/2/0/11409

빌드를 완료했으면 SSL 통신을 위한 인증서와 개인키 파일을 만들어야 하는데요. 이에 대해 다음의 글에서 설명한 방법을 따랐습니다.

사설 SSL 인증서 만들기
; https://www.joinc.co.kr/w/Site/Tip/SSL_cert

따라서 우선 다음의 내용을 가진 server_cert.conf라는 파일을 만든 후,

[req]
default_bits = 1024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no

[req_dn]
# country (2 letter code)
#C=FI

# State or Province Name (full name)
#ST=

# Locality Name (eg. city)
#L=Seoul

# Organization (eg. company)
#O=Joinc

# Organizational Unit Name (eg. section)
OU=developer

# Common Name (*.example.com is also possible)
CN=testserver.com

# E-mail contact
emailAddress=test@test.com

[cert_type]
nsCertType = server

이렇게 openssl.exe를 실행해 주면,

c:\temp> openssl.exe req -new -x509 -nodes -config server_cert.conf -out test.pem -keyout key.pem -days 365
Generating a 1024 bit RSA private key
........................++++++
........++++++
writing new private key to 'key.pem'
-----

test.pem, key.pem 파일 2개가 생성됩니다. (참고로, openssl.exe는 vcpkg를 통해 빌드한 .\installed\x86-windows\tools\openssl\ 폴더에서도 구할 수 있습니다.)




C/C++ SSL 소켓 서버는 다음의 글에서 이미 친절하게 예제 코드를 실어 놓았으니 이를 참조하겠습니다.

Simple TLS Server
; https://wiki.openssl.org/index.php/Simple_TLS_Server

예를 들기 위해, 간단한 ECHO 서버를 일반 소켓으로 먼저 만들어 보겠습니다.

#include "stdafx.h"

#pragma comment(lib, "ws2_32.lib")

constexpr int PORT = 4490;

void SocketProcess()
{
    int sockfd = socket(AF_INET, SOCK_STREAM, 0);

    if (sockfd< 0)
    {
        return;
    }

    struct sockaddr_in server_addr;

    int addr_len = sizeof(struct sockaddr_in);

    memset((char *)&server_addr, 0, sizeof(server_addr));
    server_addr.sin_family = AF_INET;
    server_addr.sin_addr.s_addr = htonl(INADDR_ANY);
    server_addr.sin_port = htons(PORT);

    bind(sockfd, (struct sockaddr *) &server_addr, addr_len);

    listen(sockfd, 5);

    while (true)
    {
        int newsockfd = accept(sockfd, (struct sockaddr *) &server_addr, &addr_len);

        char buf[4096] = { 0 };
        int nBytesToRead = 4096;
        recv(newsockfd, (char *)buf, nBytesToRead, 0);

        char outputBuf[4096] = { 0 };
        int length = wsprintfA(outputBuf, "Echo: %s\n", buf);
        send(newsockfd, outputBuf, length, 0);

        closesocket(newsockfd);
    }
}

int main()
{
    WORD wVersionRequested = MAKEWORD(2, 2);
    WSADATA wsaData;

    ::WSAStartup(wVersionRequested, &wsaData);

    SocketProcess();

    WSACleanup();

    return 0;
}

이 코드에 SSL 기능을 넣어볼 텐데, 의외로 기존 코드의 변경이 거의 없습니다. 단지 recv, send만 다른 함수로 교체될 뿐 다른 코드들은 그냥 적절한 시점에 호출되도록 추가만 해주면 됩니다. 그래서 SSL 여부를 전처리 상수로 지정해 마음대로 on/off 시킬 수 있도록 다음과 같이 코딩할 수 있습니다.

#include "stdafx.h"

#pragma comment(lib, "ws2_32.lib")

#define USE_SSL

constexpr int PORT = 4490;

#include <openssl/ssl.h>
#include <openssl/err.h>

void init_openssl()
{
    SSL_load_error_strings();
    SSL_library_init();
    OpenSSL_add_all_algorithms();
}

void cleanup_openssl()
{
    ERR_free_strings();
    EVP_cleanup();
}

void SocketProcess()
{
    int sockfd = socket(AF_INET, SOCK_STREAM, 0);

    if (sockfd< 0)
    {
        return;
    }

    struct sockaddr_in server_addr;

    int addr_len = sizeof(struct sockaddr_in);

    memset((char *)&server_addr, 0, sizeof(server_addr));
    server_addr.sin_family = AF_INET;
    server_addr.sin_addr.s_addr = htonl(INADDR_ANY);
    server_addr.sin_port = htons(PORT);

    bind(sockfd, (struct sockaddr *) &server_addr, addr_len);

    listen(sockfd, 5);

#ifdef USE_SSL
    SSL_CTX *sslContext = SSL_CTX_new(SSLv23_server_method());
    SSL_CTX_set_options(sslContext, SSL_OP_SINGLE_DH_USE);

    int use_cert = SSL_CTX_use_certificate_file(sslContext, "..\\test.pem", SSL_FILETYPE_PEM);
    int use_prv = SSL_CTX_use_PrivateKey_file(sslContext, "..\\key.pem", SSL_FILETYPE_PEM);
#endif

    while (true)
    {
        int newsockfd = accept(sockfd, (struct sockaddr *) &server_addr, &addr_len);

#ifdef USE_SSL
        SSL *ssl = SSL_new(sslContext);
        SSL_set_fd(ssl, newsockfd);
        int ssl_err = SSL_accept(ssl);
        if (ssl_err <= 0)
        {
            continue;
        }
#endif

        char buf[4096] = { 0 };
        int nBytesToRead = 4096;

#ifdef USE_SSL
        SSL_read(ssl, (char *)buf, nBytesToRead);
#else
        recv(newsockfd, (char *)buf, nBytesToRead, 0);
#endif

        char outputBuf[4096] = { 0 };
        int length = wsprintfA(outputBuf, "Echo: %s\n", buf);

#ifdef USE_SSL
        SSL_write(ssl, outputBuf, length);
#else
        send(newsockfd, outputBuf, length, 0);
#endif
   
#ifdef USE_SSL
        SSL_free(ssl);
#endif
    
        closesocket(newsockfd);
    }

#ifdef USE_SSL
    SSL_CTX_free(sslContext);
#endif
}

int main()
{
    WORD wVersionRequested = MAKEWORD(2, 2);
    WSADATA wsaData;

    ::WSAStartup(wVersionRequested, &wsaData);

#ifdef USE_SSL
    init_openssl();
#endif
    SocketProcess();
#ifdef USE_SSL
    cleanup_openssl();
#endif

    WSACleanup();

    return 0;
}

의외로 쉽게 C++ 코드에 SSL을 적용할 수 있었습니다. ^^




C#은 BCL의 도움으로 별다른 외부 라이브러리 없이 간단하게 해결됩니다. 우선, SSL이 없는 일반 Echo Client 예제를 보겠습니다.

// EchoClient.cs

using System;
using System.Net.Sockets;
using System.Text;

class EchoClient
{
    internal void Process(int port, string msg)
    {
        using (TcpClient client = new TcpClient("127.0.0.1", port))
        {
            NetworkStream ns = client.GetStream();

            byte[] buf = Encoding.ASCII.GetBytes(msg);
            ns.Write(buf, 0, buf.Length);

            buf = new byte[4096];
            int readLen = ns.Read(buf, 0, 4096);
            Console.WriteLine(Encoding.ASCII.GetString(buf, 0, readLen));
        }
    }
}

// Program.cs

using System;

class Program
{
    static void Main(string[] args)
    {
        string msg = string.Empty;

        while (true)
        {
            msg = Console.ReadLine();

            EchoClient echo = new EchoClient();
            echo.Process(4490, msg);
        }
    }
}

위의 코드에 SSL을 입혀보면 다음과 같이 변경됩니다.

// EchoSslClient.cs

using System;
using System.Net.Security;
using System.Net.Sockets;
using System.Security.Authentication;
using System.Security.Cryptography.X509Certificates;
using System.Text;

class EchoSslClient
{
    internal void Process(int port, string certName, string msg)
    {
        using (TcpClient client = new TcpClient("127.0.0.1", port))
        using (SslStream sslStream = new SslStream(client.GetStream(), false, validateCertificate, null))
        {
            try
            {
                sslStream.AuthenticateAsClient(certName);
            }
            catch (AuthenticationException e)
            {
                Console.WriteLine(e.ToString());
                return;
            }

            byte[] buf = Encoding.ASCII.GetBytes(msg);
            sslStream.Write(buf, 0, buf.Length);
            sslStream.Flush();

            buf = new byte[4096];
            int readLen = sslStream.Read(buf, 0, 4096);
            Console.WriteLine(Encoding.ASCII.GetString(buf, 0, readLen));
        }
    }

    private bool validateCertificate(object sender, X509Certificate certificate, X509Chain chain,
        SslPolicyErrors sslPolicyErrors)
    {
        // ...[생략: 잠시 후에 설명]...
    }
}

// Program.cs

using System;

class Program
{
    static void Main(string[] args)
    {
        string msg = string.Empty;

        while (true)
        {
            msg = Console.ReadLine();

            EchoSslClient echo = new EchoSslClient();
            echo.Process(4490, "testserver.com", msg);
        }
    }
}

위의 코드에서 주의할 것은, SslStream.AuthenticateAsClient의 인자로 전달된 "testserver.com" 문자열이 임의의 값이 아니라는 점입니다. 즉, 서버 인증서를 생성할 때 server_cert.conf 파일 안에 지정한 "CN=testserver.com" 항목의 CN 값이라는 것에 유의해야 합니다. HTTPS 통신을 위한 웹 서버의 인증서에서도 CN 값이 반드시 일치해야 한다는 것을 상기해 보면 됩니다.

어쨌든, 전체적인 코드가 그리 어렵지 않기 때문에 가능하면 보안을 위해 여러분의 소켓 서버에 SSL을 적용하는 것을 긍정적으로 검토하는 것도 좋겠습니다. ^^

(첨부 파일은 이 글의 예제 코드를 포함합니다.)




마지막으로 validateCertificate 콜백 메서드에 대해 설명해 보겠습니다. 간단하게 이 메서드는 다음과 같이 true를 반환하게 할 수 있습니다.

private bool validateCertificate(object sender, X509Certificate certificate, X509Chain chain,
    SslPolicyErrors sslPolicyErrors)
{
    return true;
}

그럼 인증서가 SSL 통신이 가능하다는 기준만 충족하면 무조건 SSL 통신에 사용할 수 있다는 것을 클라이언트 측에서 허락하는 것과 같습니다. 가령, SslStream.AuthenticateAsClient의 인자로 전달되는 CN 값이 달라도 되고 해당 인증서가 로컬 PC의 신뢰할 수 있는 인증서가 아니어도 SSL 통신을 할 수 있습니다.

제 개인적인 의견으로는, 정식 인증서를 발급받기 전 또는 로컬 PC의 개발 환경에서는 다음과 같은 식으로 UntrustedRoot 옵션에 대해서만큼은 true를 반환하도록 하는 것이 개발 편의를 높일 수 있습니다.

private bool validateCertificate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
    if (sslPolicyErrors == SslPolicyErrors.None)
    {
        return true;
    }

#if DEBUG
    if (sslPolicyErrors == SslPolicyErrors.RemoteCertificateChainErrors)
    {
        if (chain.ChainStatus.Length == 1)
        {
            if (chain.ChainStatus[0].Status == X509ChainStatusFlags.UntrustedRoot)
            {
                return true;
            }
        }
    }
#endif

    Console.WriteLine("validateCertificate: {0}", sslPolicyErrors);
    return false;
}

참고로, 클라이언트에서 제공한 CN 값이 다르면 sslPolicyErrors에는 RemoteCertificateNameMismatch 오류 값이 담깁니다.




이 글을 실습하면서 발생할 수 있는 오류에 대해 정리합니다.

우선, OpenSSL 라이브러리를 추가한 Visual C++ 프로젝트를 컴파일 시 applink.c 포함 구문에서 다음과 같은 오류가 발생할 수 있습니다.

#include <openssl/applink.c>

Error C4996 'fopen': This function or variable may be unsafe. Consider using fopen_s instead. To disable deprecation, use _CRT_SECURE_NO_WARNINGS. See online help for details.

오류 메시지에 따르면 위의 #include 전에 "#define _CRT_SECURE_NO_WARNINGS" 전처리 상수를 정의하면 될 듯한데, 그래도 오류가 발생합니다. 아마도 이게 C 파일이라서 그런 듯싶은데 Visual C++ 프로젝트의 속성 창에서 "Configuration Properties" / "C/C++" / "Preprocessor" 범주의 "Preprocessor Definitions"에 "_CRT_SECURE_NO_WARNINGS" 상수를 추가해 전역적으로 적용해야 컴파일 오류가 없어집니다.




그다음, vcpkg로 빌드한 openssl의 경우 다음과 같은 경로에 있는 openssl.exe를 실행하면 0xc000007b 오류가 발생할 수 있습니다.

E:\git_clone\vcpkg\installed\x86-windows\tools\openssl> openssl

The application was unable to start correctly (0xc000007b). Click OK to close the application. 

이 오류는 openssl.exe의 실행에 필요한 libeay32.dll, ssleay32.dll 파일이 없어서 그런 것입니다. 따라서, ".\installed\x86-windows\bin" 폴더의 libeay32.dll, ssleay32.dll 파일을 openssl.exe 파일이 있는 폴더에 복사해 실행하면 됩니다.

그래도 실행하면 다음과 같은 경고가 발생합니다.

E:\git_clone\vcpkg\installed\x86-windows\tools\openssl> openssl
WARNING: can't open config file: E:/git_clone/vcpkg/packages/openssl_x86-windows/openssl.cnf
OpenSSL>

일단 실행은 되어 OpenSSL 프롬프트가 떴지만 그래도 왠지 깔끔하지 않습니다. ^^ openssl.cnf 파일은 비주얼 스튜디오 2017이 있는 경우 쉽게 구할 수 있습니다. 가령, 제 컴퓨터에서는 다음의 경로에서 구할 수 있었습니다.

C:\Program Files (x86)\Microsoft Visual Studio\2017\Enterprise\Common7\IDE\CommonExtensions\Microsoft\TeamFoundation\Team Explorer\Git\usr\ssl

따라서 그 파일을 오류 메시지에 따라 "E:\git_clone\vcpkg\packages\openssl_x86-windows" 폴더에 복사하면 경고가 사라집니다.




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]





[최초 등록일: ]
[최종 수정일: 12/20/2017 ]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer@outlook.com

비밀번호

댓글 쓴 사람
 




... 16  17  18  19  20  21  22  23  24  25  26  [27]  28  29  30  ...
NoWriterDateCnt.TitleFile(s)
11727정성태10/10/20182549오류 유형: 491. Visual Studio의 리눅스 SSH 원격 연결 - "Connectivity Failure. Please make sure host name and port number are correct."
11726정성태10/7/20183641사물인터넷: 49. 라즈베리 파이를 이용해 원격 컴퓨터의 전원 스위치 제어파일 다운로드1
11724정성태10/12/20203553개발 환경 구성: 407. 유니코드와 한글 - "Hangul Compatibility Jamo"파일 다운로드1
11723정성태10/4/20182140개발 환경 구성: 406. "Docker for Windows" 컨테이너 내의 .NET Core 응용 프로그램에서 직렬 포트(Serial Port, COM Port) 사용 방법
11722정성태10/4/20182637.NET Framework: 798. C# - Hyper-V 가상 머신의 직렬 포트와 연결된 Named Pipe 간의 통신파일 다운로드1
11721정성태10/4/20183245.NET Framework: 797. Linux 환경의 .NET Core 응용 프로그램에서 직렬 포트(Serial Port, COM Port) 사용 방법파일 다운로드1
11720정성태10/4/20183758개발 환경 구성: 405. Hyper-V 가상 머신에서 직렬 포트(Serial Port, COM Port) 사용
11719정성태10/4/20183517.NET Framework: 796. C# - 인증서를 윈도우에 설치하는 방법
11718정성태8/4/20202001개발 환경 구성: 404. (opkg가 설치된) Synology NAS(DS216+II)에 cmake 설치
11717정성태10/3/20182107사물인터넷: 48. 넷두이노의 C# 네트워크 프로그램
11716정성태10/3/20182863사물인터넷: 47. Raspberry PI Zero (W)에 FTDI 장치 연결 후 C/C++로 DTR 제어파일 다운로드1
11715정성태10/3/20182776사물인터넷: 46. Raspberry PI Zero (W)에 docker 설치
11714정성태10/2/20182262사물인터넷: 45. Raspberry PI에 ping을 hostname으로 하는 방법
11713정성태10/2/20184628개발 환경 구성: 403. Synology NAS(DS216+II)에 docker 설치 후 .NET Core 2.1 응용 프로그램 실행하는 방법
11712정성태6/26/20196221.NET Framework: 795. C# - 폰트 목록을 한글이 아닌 영문으로 구하는 방법 [3]
11711정성태10/2/20184432오류 유형: 490. 윈도우 라이선스 키 입력 오류 0xc004f050, 0xc004e028
11710정성태10/5/20182929.NET Framework: 794. C# - 같은 모양, 다른 값의 한글 자음을 비교하는 호환 분해 [5]
11709정성태12/7/20182101개발 환경 구성: 402. .NET Core 콘솔 응용 프로그램을 docker로 실행/디버깅하는 방법 [1]
11708정성태2/27/20203516개발 환경 구성: 401. .NET Core 콘솔 응용 프로그램을 배포(publish) 시 docker image 자동 생성 [1]파일 다운로드1
11707정성태9/30/20182151오류 유형: 489. ASP.NET Core를 docker에서 실행 시 "Failed with a critical error." 오류 발생
11706정성태9/29/20182741개발 환경 구성: 400. Synology NAS(DS216+II)에서 실행한 gcc의 Segmentation fault [2]
11705정성태9/29/20184199개발 환경 구성: 399. Synology NAS(DS216+II)에 gcc 컴파일러 설치
11704정성태9/29/20185029기타: 73. Synology NAS 신호음(beep) 끄기 [1]파일 다운로드1
11703정성태10/16/20183181개발 환경 구성: 398. Blazor 환경 구성 후 빌드 속도가 너무 느리다면? [1]
11702정성태9/26/20181814사물인터넷: 44. 넷두이노(Netduino)의 네트워크 설정 방법
11701정성태9/26/20183508개발 환경 구성: 397. 공유기를 일반 허브로 활용하는 방법파일 다운로드1
... 16  17  18  19  20  21  22  23  24  25  26  [27]  28  29  30  ...