基于C语言和mbedtls库，实现TLS 加密通信落地

以下是基于 C 语言 + mbedtls 实现 TLS 加密通信的完整落地代码，包含服务器端和客户端，适配 Linux / 嵌入式 Linux 环境，兼顾可读性和生产级安全规范。

一、环境准备

1. 安装 mbedtls：参考前文编译部署步骤，确保头文件路径（/usr/local/mbedtls/include）和库路径（/usr/local/mbedtls/lib）正确。
2. 生成证书：执行前文的 OpenSSL 命令，生成ca_crt.pem（CA 根证书）、server_crt.pem（服务器证书）、server_key.pem（服务器私钥）、client_crt.pem（客户端证书）、client_key.pem（客户端私钥）。

二、核心通用工具函数（tls_common.h）

封装 mbedtls 初始化、释放、收发等通用逻辑，减少代码冗余。

#ifndef TLS_COMMON_H #define TLS_COMMON_H #include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include <sys/socket.h> #include <netinet/in.h> #include <arpa/inet.h> #include <fcntl.h> #include "mbedtls/ssl.h" #include "mbedtls/x509_crt.h" #include "mbedtls/ctr_drbg.h" #include "mbedtls/entropy.h" #include "mbedtls/pk.h" // TLS上下文（每个连接独立） typedef struct { int fd; // TCP套接字 mbedtls_ssl_context ssl; // SSL会话上下文 mbedtls_ssl_config conf; // SSL配置 mbedtls_x509_crt cert; // 本地证书（服务器/客户端） mbedtls_pk_context pkey; // 本地私钥 mbedtls_x509_crt cacert; // CA根证书（用于验证对方） mbedtls_entropy_context entropy; // 熵源 mbedtls_ctr_drbg_context ctr_drbg;// 随机数生成器 } tls_ctx_t; // 错误码打印辅助函数 void mbedtls_perror(const char *func, int ret); // 初始化TLS上下文 // role: MBEDTLS_SSL_IS_SERVER / MBEDTLS_SSL_IS_CLIENT // cert_path: 本地证书路径（NULL则不加载） // key_path: 本地私钥路径（NULL则不加载） // ca_path: CA根证书路径（用于验证对方证书） int tls_ctx_init(tls_ctx_t *ctx, int role, const char *cert_path, const char *key_path, const char *ca_path); // TLS握手（阻塞模式） int tls_handshake(tls_ctx_t *ctx); // 加密发送数据（替代send） ssize_t tls_send(tls_ctx_t *ctx, const void *buf, size_t len); // 加密接收数据（替代recv） ssize_t tls_recv(tls_ctx_t *ctx, void *buf, size_t len); // 释放TLS上下文 void tls_ctx_free(tls_ctx_t *ctx); // 创建TCP套接字（通用） int tcp_socket_create(const char *ip, int port, int is_server); #endif // TLS_COMMON_H

三、通用工具函数实现（tls_common.c）

#include "tls_common.h" void mbedtls_perror(const char *func, int ret) { char buf[1024] = {0}; mbedtls_strerror(ret, buf, sizeof(buf)); fprintf(stderr, "[ERROR] %s: %d - %s\n", func, ret, buf); } int tls_ctx_init(tls_ctx_t *ctx, int role, const char *cert_path, const char *key_path, const char *ca_path) { int ret; const char *pers = "tls_comm"; // 随机数种子标识 // 初始化所有上下文 memset(ctx, 0, sizeof(tls_ctx_t)); mbedtls_ssl_init(&ctx->ssl); mbedtls_ssl_config_init(&ctx->conf); mbedtls_x509_crt_init(&ctx->cert); mbedtls_pk_init(&ctx->pkey);