openssl证书链的校验过程

最新推荐文章于 2024-02-24 16:36:37 发布
VIP文章 最新推荐文章于 2024-02-24 16:36:37 发布
阅读量8.6k 收藏 8
点赞数
分类专栏: OpenSSL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shareyao/article/details/5294538
版权

 

X509_STORE_CTX这个结构主要是用来校验证书用,一般都会使用X509_STORE这个已经设置好的对象来初始化X509_STORE_CTX,初始化函数如下:

 

int X509_STORE_CTX_init(X509_STORE_CTX *ctx, X509_STORE *store, X509 *x509,

    STACK_OF(X509) *chain)

 

这个初始化函数参数说明一下,第二个参数store是用来初始化第一个参数ctx,第三个参数x509表示待验证的证书,chain是不信任证书链。

 

具体的校验函数也是在该init函数里面设定的,如果自己不需要(一般也不需要),那么使用openssl自带实现的internal_verify函数来进行证书链的校验。

if (store && store->verify)

ctx->verify = store->verify;

else

ctx->verify = internal_verify;

 

 

另外这个init函数中还设置了很多回调函数,基本上都是把X509_STORE的函数抄一份给X509_STORE_CTX。下面开始具体讲一讲internal_verify这个函数。

 

很早时候看过一些介绍性的书籍讲证书链的校验,一直以为证书校验过程是从leaf校验跟root的。实际看了openssl实现源码才知道原来是反着来的。

 

初始化X509_STORE_CTX这个结构之后,就开始证书链的校验了。其中校验的证书有两种类型:

 

1. 自签名证书。这种类型校验比较简单,从本地sto

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openssl命令操作证书实例
09-06
提供实际操作的示例,演示linux下用openssl提供的命令,生成多级证书,并验证各级证书的合法性。
openssl证书验证
Netfilter
04-01 1万+
使用openssl验证证书可以用以下命令:debian:/home/zhaoya/openssl#openssl verify -CAfile ROOT_CERT USER_CERT其中的ROOT_CERT可以包含很多证书,可以用cat命令将多级的ca证书合并到一个文件里面,然后程序启动以后会加载ROOT_CERT,ROOT_CERT会在内存中形成一个堆栈结构,各个证书的顺序和文件里面的
TLS握手证书校验
chinamen1的博客
02-24 752
看一遍忘一遍,还是自己写一遍,看看这次能记多久。在TLS握手过程中,通过证书校验认证服务端的身份和交换加密秘钥,握手完成之后后续就可以进行加密数据传输。在浏览器地址栏上点击锁的图标,能打开查看证书的详细信息。首先可以看到证书包含了多个层级,最下层的是我们直接访问的网站的服务证书,最上层是根证书。每个证书都属于一个机构组织。除了根证书是由根CA自己签发给自己的,其他证书都是由上一级组织用上一级的证书签发出来的,所以形成了层级结构。点开细节可以看到证书的更多信息,主要看证书包含什么信息?
openssl证书自签
09-01
openssl证书自签
OpenSSL证书制作过程
12-01
配置CA,发行x509证书,适合软件开发团队使用!
openssl生成证书
12-27
使用openssl生成证书,有详细的步骤说明,亲测可用。还有一些关于证书的一些常用转换操作介绍
openssl校验证书
m0_46665077的博客
04-22 4530
openssl校验证书到期时间 openssl校验证书文件(crt/cer文件)与密钥文件(key文件)是否匹配
OpenSSL从内存中加载密钥、证书证书、根证书
C语言,网络安全,嵌入式
04-11 1306
众所周知,使用OpenSSL建立连接,需要加载密钥、证书证书、根证书等,这些接口从文件中加载很方便,但有些使用场景使我们必须从内存加载,以下是保姆级介绍OpenSSL从内存中加载密钥、证书证书、根证书的具体实现方法。
Openssl验证证书有效性
Jinhill's Blog
02-27 1万+
好久没写博客了,直接上代码#include #include #include #include #include int LoadCert(unsigned char * szFilePath, unsigned char *pbCert, int size) { int len = 0; if(szFilePath == NULL || pbCert == NULL || siz
客户端认证https服务端证书过程详解——证书
热门推荐
huzhenv5的博客
02-29 1万+
文章目录基本概念证书CASigning & Verification证书实例CA组织end-user certificates & intermediates certificatesroot certificates其他 基本概念 证书 首先,我们看看在wikipedia上对证书的定义,In cryptography, a public key certificate (als...
openssl验证证书_如何使用OpenSSL验证证书
cunjiu9486的博客
10-08 5576
openssl验证证书X509 certificates provides the authenticity of provided certificates in a chained manner. Internet world generally uses certificate chains to create and use some flexibility for trust. But...
OpenSSL证书创建工具(最小绿色压缩包,含配置文件)
05-26
OpenSSL证书创建工具,用于证书创建、自签名等。 仅提取了openssl.exe、必须的2个DLL以及配置文件,直接解压后即可使用。 可参考我的博客《使用OpenSSL创建自签名证书》查看使用方法。
java生成证书 包括openssl
12-05
生成证书 通过keytool 和openssl,帮助在https环境下测试证书,但是此证书浏览器不认的
OpenSSL 一键生成证书
08-10
openssl进行二次研发封装通过批处理的方式增加“一键生成CA证书”、“一键生成Server证书”、“一键生成Client证书”等工具。方便研发人员快捷的生成所需各种证书
openssl证书加载过程
知识需要积累。
01-03 8611
首先看SSL_CTX的结构中跟证书相关的字段(其实结构里面的内容非常多)  struct ssl_ctx_st{    struct x509_store_st /* X509_STORE */ *cert_store;    STACK_OF(X509_NAME) *client_CA;    struct cert_st /* CERT */ *cert; 
2023年加湿器市场分析.pptx
最新发布
04-18
行业分析报告
Skeleton-Low Poly 低多边形骨架模型Unity插件美术资源包unitypackage
04-18
Skeleton-Low Poly 低多边形骨架模型Unity插件美术资源包unitypackage 支持Unity版本2019.4.29或更高 直接的低多边形骨架。 特点: - 低多边形(9k tris,8.5) - 适用于 Unity 5 及更高 版本 - 完全装配 - 包括一个 fbx 格式的模型 - PBR 纹理 - 高清纹理
基于Java的Swing飞机订票系统设计源码
04-18
本项目是基于Java的Swing飞机订票系统设计源码,包含102个文件,其中主要包含41个java源代码文件,26个png图片文件,10个jpg图片文件等。系统采用了Java编程语言,实现了基于Swing的飞机订票系统。项目结构清晰,代码可读性强,易于理解和维护。
openssl操作证书
09-08
OpenSSL是一个开放源代码的加密工具包,可以用来进行SSL/TLS协议的实现。在使用OpenSSL操作证书时,可以采取以下步骤: 1.生成私钥和证书请求:首先,使用OpenSSL生成一个私钥和一个证书请求(CSR)。私钥用来签署证书,而CSR包含了申请者的公钥信息。 2.自签名证书:接下来,使用生成的私钥和CSR生成一个自签名证书。自签名证书可以用于测试或者临时环境,但在生产环境中,应该使用由受信任的第三方机构签名的证书。 3.签名证书:如果要获得第三方机构签名的证书,需要将CSR发送给证书颁发机构(CA)。CA会对CSR进行验证,并使用CA的私钥签名生成一个证书。这个证书可以用来在客户端与服务器之间建立信任。 4.构建证书证书是由证书和根证书构成的一条验证路径。在OpenSSL中,可以通过将证书和根证书连接在一起来构建证书。同时,还需要将每个证书保存为单独的文件,以便于使用。 5.验证证书:在服务端和客户端之间建立连接时,服务器需要将证书发送给客户端。客户端使用CA的公钥来验证证书有效性。如果证书中的任何一个证书无效或不受信任,连接将被中断。 通过以上步骤,我们可以使用OpenSSL操作证书。这样可以确保在SSL/TLS连接中建立起合法且可信的通信路径,保证通信的安全性和准确性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值