前面通过一系列文章,讲述了如使用OpenSSL解析证书的基本项,现在我们来看看如何获取证书的扩展项。
目前CA中心颁发的证书,都有一些扩展项属性,用来限定证书的用途、提供颁发者信息、以及CRL的下载地址等等。在下图中,红色区域内的属性都为证书的扩展属性。
在OpenSSL中,提供了函数X509_get_ext_d2i(),可以通过指定属性的NID来返回对应的结构体。该函数的定义如下:
void * X509_get_ext_d2i(X509 *x, int nid, int *crit, int *idx);
其中:
第一个参数x,为证书结构体X509指针;
第二个参数nid,为要获取的扩展对象NID,“基本约束”的NID为NID_basic_constraints;
第三个参数crit,为返回参数,表明该扩展属性是否为关键扩展;
第四个参数idx,为可选返回参数,表明该扩展的序号,可以传NULL。
在OpenSSL中,“基本约束”扩展属性的结构体定义如下:
typedef struct BASIC_CONSTRAINTS_st {
int ca;
ASN1_INTEGER *pathlen;
} BASIC_CONSTRAINTS;
其中:
第一个成员ca,表明该证书可否作为CA证书签发下一级证书,一般用户证书该值都为0。
第二个参数pathlen,只有当ca=1时才有效,表明具体可以签发的证书级别。
使用OpenSSL获取“基本约束”扩展属性的完整函数代码如下:
ULONG COpenSSLCertificate::_GetExtBasicConstraints(X509 *pX509Cert, LPSTR lpscProperty, ULONG* pulLen)
{
int crit = 0;
char value[512] = {0};
BASIC_CONSTRAINTS *bcons = NULL;
if (!m_pX509)
{
return CERT_ERR_INVILIDCALL;
}
if (!pulLen)
{
return CERT_ERR_INVALIDPARAM;
}
bcons = (BASIC_CONSTRAINTS*)X509_get_ext_d2i(m_pX509, NID_basic_constraints, &crit, NULL);
if (!bcons)
{
return CERT_ERR_ATTR_NOTEXIST;
}
if (!bcons->ca)
{
strcat_s(value, 512, "Subject Type=End Entity; ");
strcat_s(value, 512, "Path Length Constraint=None");
}
else
{
char temp[128] = {0};
sprintf_s(temp, 128, "Path Length Constraint=%d", bcons->pathlen);
strcat_s(value, 512, "Subject Type=CA; ");
strcat_s(value, 512, temp);
}
BASIC_CONSTRAINTS_free(bcons);
if (!lpscProperty)
{
*pulLen = strlen(value) + 1;
}
if (*pulLen < (strlen(value) + 1))
{
return CERT_ERR_BUFFER_TOO_SMALL;
}
strcpy_s(lpscProperty, *pulLen, value);
return CERT_ERR_OK;
}