Usar wolfSSL para conexões TLS
O SDK do Azure Sphere inclui um subconjunto da biblioteca wolfSSL para segurança de camada de transporte (TLS), que aplicativos de alto nível podem usar para criar conexões TLS seguras.
A referência à API wolfSSL fornece uma documentação completa da API wolfSSL, juntamente com muitos exemplos. O Azure Sphere dá suporte a um subconjunto da API que garante a compatibilidade binária.
Requisitos para aplicativos que usam a biblioteca wolfSSL
Os aplicativos que usam a biblioteca wolfSSL devem incluir os arquivos de cabeçalho necessários e a configuração de build.
A API do wolfSSL TLS não requer recursos no manifesto do aplicativo. No entanto, se o aplicativo se conectar a um ponto de extremidade da Internet, o manifesto do aplicativo deverá incluir informações sobre a conexão. Consulte Conectar-se aos serviços Web para obter mais detalhes sobre como habilitar a conectividade.
Arquivos de cabeçalho
Os aplicativos que usam a API wolfSSL devem incluir o ssl.h arquivo de cabeçalho e podem exigir um ou mais arquivos de cabeçalho adicionais, dependendo dos recursos wolfSSL em uso:
#include <wolfssl/wolfcrypt/ecc.h>
#include <wolfssl/wolfcrypt/error-crypt.h>
#include <wolfssl/wolfcrypt/random.h>
#include <wolfssl/wolfcrypt/types.h>
#include <wolfssl/ssl.h>
Consulte a documentação wolfSSL para determinar quais arquivos de cabeçalho seu aplicativo requer.
Configuração de build
Para criar um aplicativo com suporte à API TLS wolfSSL, edite os arquivos CMakePresets.json e CMakeLists.txt para especificar o conjunto de API de destino e vincular a biblioteca wolfSSL, respectivamente.
Defina o TARGET_API_SET em CMakePresets.json como 6 ou maior.
"AZURE_SPHERE_TARGET_API_SET": "6"Adicione
wolfsslà lista de target_link_libraries no CMakeLists.txt para vincular a biblioteca wolfSSL ao projeto:target_link_libraries(${PROJECT_NAME} applibs pthread gcc_s c wolfssl)
Recursos com suporte
O SDK do Azure Sphere dá suporte ao wolfSSL TLS do lado do cliente usando um certificado de cliente fornecido pela Microsoft ou um certificado ou sua escolha. O SDK do Azure Sphere dá suporte ao wolfSSL TLS do lado do servidor usando apenas um certificado de sua escolha. Cenários sem suporte notáveis incluem:
Há suporte apenas para conexões TLS do lado do cliente wolfSSL com o certificado de cliente fornecido pela Microsoft. As conexões TLS do lado do servidor não podem usar o certificado de cliente fornecido pela Microsoft.
Um aplicativo pode usar o suporte interno wolfSSL TLS ou usar e vincular em outra implementação de biblioteca wolfSSL. No entanto, não há suporte para o uso misto do suporte interno com outra biblioteca wolfSSL.
Usar wolfSSL no Azure Sphere
Aplicativos do Azure Sphere de alto nível podem usar wolfSSL para criar e se comunicar por meio de uma conexão TLS. Os aplicativos normalmente devem usar uma combinação das técnicas para criar e se comunicar por essas conexões.
Nota
Para maior segurança, os aplicativos devem usar wolfSSL_CTX_set_verify() para validar o host. Consulte a documentação wolfSSL para obter mais informações.
Inicializar o wolfSSL para conexões TLS do cliente
Para criar uma conexão TLS com wolfSSL, o aplicativo primeiro deve inicializar a biblioteca e o contexto SSL (CTX), como no seguinte snippet de código:
// Configure the wolfSSL library
if (wolfSSL_Init() != WOLFSSL_SUCCESS) {
Log_Debug("Error initializing wolfSSL library.\n");
goto cleanupLabel;
}
// Configure wolfSSL CTX functionality
WOLFSSL_METHOD *wolfSslMethod = wolfTLSv1_3_client_method();
if (wolfSslMethod == NULL) {
Log_Debug("Unable to allocate TLS v1.3 method.\n");
goto cleanupLabel;
}
WOLFSSL_CTX *wolfSslCtx = wolfSSL_CTX_new(wolfSslMethod);
if (wolfSslCtx == NULL) {
Log_Debug("Unable get create SSL context.\n");
goto cleanupLabel;
}
Carregar o certificado
Depois que o wolfSSL for inicializado, ele poderá carregar um certificado para uso com a conexão TLS. Você pode incluir o certificado no pacote de imagens do aplicativo, conforme descrito em Adicionar certificados de AC ao pacote de imagens.
O exemplo a seguir mostra como um aplicativo pode usar Storage_GetAbsolutePathInImagePackage para obter o caminho para um certificado de cliente que faz parte do pacote de imagens do aplicativo e, em seguida, chamar wolfSSL_CTX_load_verify_locations para carregar o certificado em wolfSSL. Observe que o aplicativo deve incluir o storage.h arquivo de cabeçalho para usar Storage_GetAbsolutePathInImagePackage.
#include <applibs/storage.h>
...
// Get the full path to the certificate file used to authenticate the HTTPS server identity.
// The .pem file is the certificate that is used to verify the
// server identity.
certificatePath = Storage_GetAbsolutePathInImagePackage("certs/YourDesiredCert.pem");
if (certificatePath == NULL) {
Log_Debug("The certificate path could not be resolved: errno=%d (%s)\n", errno,
strerror(errno));
goto cleanupLabel;
}
// Load the client certificate into wolfSSL
if (wolfSSL_CTX_load_verify_locations(ctx, certificatePath, NULL) != WOLFSSL_SUCCESS) {
Log_Debug("Error loading certificate.\n");
goto cleanupLabel;
}
Criar uma conexão do lado do cliente
Depois de carregar o certificado, o aplicativo pode estabelecer a conexão TLS. Essa etapa envolve criar um objeto SSL, associá-lo a um descritor de soquete e criar a conexão, como neste exemplo:
// Create the SSL object
if ((ssl = wolfSSL_new(ctx)) == NULL) {
Log_Debug("Error creating final SSL object.\n");
goto cleanupLabel;
}
// Attach the socket file descriptor to wolfSSL
if (wolfSSL_set_fd(ssl, sockfd) != WOLFSSL_SUCCESS) {
Log_Debug("Error attaching socket fd to wolfSSL.\n");
goto cleanupLabel;
}
// Call Connect for incoming connections
if (wolfSSL_connect(ssl) != WOLFSSL_SUCCESS) {
Log_Debug("Error establishing TLS connection to host.\n");
goto cleanupLabel;
}
Ler e gravar dados da conexão
Para gravar e ler dados da conexão, o aplicativo pode usar wolfSSL_write e wolfSSL_read, respectivamente, como mostra o exemplo a seguir. Neste exemplo, a gravação no servidor contém uma solicitação HTTP/1.1 padrão para recuperar o conteúdo da página. A documentação em HTTP/1.1: A solicitação (w3.org) fornece uma boa visão geral dessa estrutura. No entanto, observe que este documento foi substituído e você pode encontrar mais detalhes sobre a estrutura de solicitação em sua substituição RFC 9110: Semântica HTTP (rfc-editor.org).
sprintf(buffer, "GET / HTTP/1.1\r\nHost: example.com\r\nAccept: */*\r\n\r\n");
ret = wolfSSL_write(ssl, buffer, (int)strlen(buffer));
if (ret != strlen(buffer)) {
Log_Debug("Error writing GET command to server.\n");
goto cleanupLabel;
}
// Read the data back
ret = wolfSSL_read(ssl, buffer, BUFFER_SIZE);
if (ret == -1) {
Log_Debug("Error reading from host.\n");
goto cleanupLabel;
}
Log_Debug("Received %d bytes from host.\n", ret);
Log_Debug("%s\n", buffer);
Inicializar wolfSSL para conexões do lado do servidor
Para criar um servidor TLS com wolfSSL, o aplicativo deve primeiro inicializar a biblioteca e o contexto SSL (CTX), como no seguinte snippet de código:
// Configure wolfSSL CTX functionality
WOLFSSL_METHOD *wolfSslMethod = wolfTLSv1_3_server_method();
if (wolfSslMethod) == NULL) {
Log_Debug("Unable to allocate TLS v1.3 method\n");
goto cleanupLabel;
}
WOLFSSL_CTX *wolfSslCtx = wolfSSL_CTX_new(wolfSslMethod);
if (wolfSslCtx == NULL) {
Log_Debug("Unable to create SSL context.\n");
goto cleanupLabel;
}
Aceitar conexões de entrada usando o servidor TLS wolfSSL
Aceite conexões de entrada de um cliente para o servidor do Azure Sphere.
// Call Accept for incoming connections
if (wolfSSL_accept(ssl) != WOLFSSL_SUCCESS) {
Log_Debug("Error establishing TLS connection to host.\n");
goto cleanupLabel;
}
Limpeza
Quando o aplicativo terminar de usar a conexão, ele deverá liberar os recursos relacionados.
free(certificatePath);
if (ssl) {
wolfSSL_free(ssl);
}
if (ctx) {
wolfSSL_CTX_free(ctx);
wolfSSL_Cleanup();
}
Amostra
Para obter um exemplo da funcionalidade WolfSSL na plataforma do Azure Sphere, consulte WolfSSL_HighLevelApp.