openssl证书撤销列表(Certificate Revocation List,简称CRL)详解

最新推荐文章于 2024-07-25 15:56:54 发布
最新推荐文章于 2024-07-25 15:56:54 发布
阅读量2.7k 收藏 21
点赞数 36
分类专栏: # openssl开发 文章标签: ssl chrome 证书 crl c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ARV000/article/details/134924713
版权

文章目录

CRL介绍

证书撤销列表(Certificate Revocation List,简称CRL),是一种包含撤销的证书列表的签名数据结构。CRL是证书撤销状态的公布形式,CRL就像信用卡的黑名单,用于公布某些数字证书不再有效。

CRL是一种离线的证书状态信息。它以一定的周期进行更新。CRL可以分为完全CRL和增量CRL。在完全CRL中包含了所有的被撤销证书信息,增量CRL由一系列的CRL来表明被撤销的证书信息,它每次发布的CRL是对前面发布CRL的增量扩充。

基本的CRL信息有:被撤销证书序列号、撤销时间、撤销原因、签名者以及CRL签名等信息。

基于CRL的验证是一种不严格的证书认证。CRL能证明在CRL中被撤销的证书是无效的。但是,它不能给出不在CRL中的证书的状态。如果执行严格的认证,需要采用在线方式进行认证,即OCSP认证。

数据结构

Openssl中的crl数据结构定义在crypto/x509/x509.h中。

1) X509_REVOKED

typedef struct X509_revoked_st
       {

              ASN1_INTEGER *serialNumber;

              ASN1_TIME *revocationDate;

              STACK_OF(X509_EXTENSION) *extensions;

              int sequence;

       } X509_REVOKED;

本结构用于存放一个被撤销证书的信息,各项意义如下:

serialNumber:被撤销证书的序列号;

revocationDate:撤销时间;

extensions:扩展项,可选;

sequence:顺序号,用于排序,表示当前被撤销证书信息在crl中的顺序。

2)X509_CRL_INFO

typedef struct X509_crl_info_st
{
       ASN1_INTEGER *version;
       X509_ALGOR *sig_alg;
       X509_NAME *issuer;
       ASN1_TIME *lastUpdate;
       ASN1_TIME *nextUpdate;
       STACK_OF(X509_REVOKED) *revoked;
       STACK_OF(X509_EXTENSION) *extensions;
       ASN1_ENCODING enc;
} X509_CRL_INFO;

crl信息主体,各项意义如下:

version:crl版本;

sig_alg:crl签名法;

issuer:签发者信息;

lastUpdate:上次更新时间;

nextUpdate:下次更新时间;

revoked:被撤销证书信息;

extensions:扩展项,可选。

  1. X509_CRL
struct X509_crl_st
{

       X509_CRL_INFO *crl;

       X509_ALGOR *sig_alg;

       ASN1_BIT_STRING *signature;

       int references;

} ;

完整crl数据结构,各项意义如下:

crl:crl信息主体;

sig_alg:签名算法,与X509_CRL_INFO中的一致;

signature:签名值;

references:引用。

上述三个结构的DER编解码通过宏在crypto/asn1/x_crl.c中实现,包括new、free、i2d和d2i函数。

CRL函数

 CRL函数主要是set和get函数,如下:

1) int X509_CRL_add0_revoked(X509_CRL *crl, X509_REVOKED *rev)

添加一个被撤销证书的信息。

2) int X509_CRL_print(BIO *bp,X509_CRL *x)

打印crl内容到BIO中。

3)int X509_CRL_print_fp(FILE *fp, X509_CRL *x)

将crl的内容输出到fp中,此函数调用了X509_CRL_print。

4) int X509_CRL_set_issuer_name(X509_CRL *x, X509_NAME *name)

设置crl的颁发者。

  1. int X509_CRL_set_lastUpdate(X509_CRL *x, ASN1_TIME *tm)

设置crl上次发布时间。

  1. int X509_CRL_set_nextUpdate(X509_CRL *x, ASN1_TIME *tm)

设置crl下次发布时间。

  1. int X509_CRL_set_version(X509_CRL *x, long version)

设置crl版本。

8) int X509_CRL_sign(X509_CRL *x, EVP_PKEY *pkey, const EVP_MD *md)

对crl进行签名,pkey为私钥,md为摘要算法,结果存放在x-> signature中。

9) int X509_CRL_sort(X509_CRL *c)

根据证书序列号对crl排序,此函数实现采用了堆栈排序,堆栈的比较函数为X509_REVOKED_cmp(crypto/asn1/x_crl.c)。

10)int X509_CRL_add1_ext_i2d(X509_CRL *x, int nid, void *value, int crit, unsigned long flags)

添加CRL扩展,nid为要添加的扩展标识,value为被添加的具体扩展项的内部数据结构地址,crit表明是否为关键扩展,flags表明何种操作。此函数调用X509V3_add1_i2d函数。

11)int X509_CRL_add_ext(X509_CRL *x, X509_EXTENSION *ex, int loc)

添加扩展项到指定堆栈位置,此函数调用X509v3_add_ext,进行堆栈插入操作。

12)int X509_CRL_cmp(const X509_CRL *a, const X509_CRL *b)

CRL比较,此函数调用X509_NAME_cmp,只比较颁发者的名字是否相同。

13)X509_EXTENSION *X509_CRL_delete_ext(X509_CRL *x, int loc)

删除CRL扩展项堆栈中的某一项,loc指定被删除项在堆栈中的位置。

14)int X509_CRL_digest(const X509_CRL *data, const EVP_MD *type,

unsigned char *md, unsigned int *len)

CRL摘要,本函数对X509_CRL进行摘要,type指定摘要算法,摘要结果存放在md中,len表明摘要结果长度。

15)X509_CRL_dup

CRL数据拷贝,此函数通过宏来实现。大部分ASN1类型数据都有dup函数,它们的实现方式比较简单:将对象DER编码,然后再解码,这样就实现了ASN1数据的复制。

  1. void *X509_CRL_get_ext_d2i(X509_CRL *x, int nid, int *crit, int *idx)

CRL中的获取扩展项,此函数用于获取crl中指定扩展项的内部数据结构,返回值为具体的扩展项数据结构地址,nid为扩展项标识,它调用了X509V3_get_d2i函数。

17)int X509_CRL_get_ext_by_critical(X509_CRL *x, int crit, int lastpos)

获取扩展项在其堆栈中的位置,crit为扩展项是否关键标识,lastpos为堆栈搜索起始位置。此函数调用了X509v3_get_ext_by_critical。

18)int X509_CRL_get_ext_by_NID(X509_CRL *x, int nid, int lastpos)

获取扩展项在其堆栈中的位置,nid为扩展项标识,lastpos为搜索起始位置。如果找到此扩展项,返回其在堆栈中的位置。

  1. int X509_CRL_get_ext_by_OBJ(X509_CRL *x, ASN1_OBJECT *obj, int lastpos)

同上。

20)int X509_CRL_get_ext_count(X509_CRL *x)

获取crl中扩展项的个数。

  1. int X509_CRL_verify(X509_CRL *a, EVP_PKEY *r)

验证CRL。EVP_PKEY结构r中需要给出公钥。

编程示例

下面的例子用来生成一个crl文件。

#include <openssl/x509.h>

int       main()
{

    int                         ret,len;
    unsigned char*buf,*p;
    unsigned long  e=RSA_3;
    FILE                     *fp;
    time_t                   t;
    X509_NAME         *issuer;
    ASN1_TIME         *lastUpdate,*nextUpdate,*rvTime;
    X509_CRL            *crl=NULL;
    X509_REVOKED   *revoked;
    EVP_PKEY            *pkey;
    ASN1_INTEGER   *serial;
    RSA                      *r;
    BIGNUM               *bne;
    BIO                      *bp;
   

    /* 生成密钥*/

    bne=BN_new();
    ret=BN_set_word(bne,e);
    r=RSA_new();
    ret=RSA_generate_key_ex(r,1024,bne,NULL);
    if(ret!=1)
    {
           printf("RSA_generate_key_ex err!\n");
           return -1;
    }
    pkey=EVP_PKEY_new();
    EVP_PKEY_assign_RSA(pkey,r);
    crl=X509_CRL_new();
    /* 设置版本*/

    ret=X509_CRL_set_version(crl,3);
    /* 设置颁发者*/

    issuer=X509_NAME_new();
    ret=X509_NAME_add_entry_by_NID(issuer,NID_commonName,V_ASN1_PRINTABLESTRING,       "CRL issuer",10,-1,0);
    ret=X509_CRL_set_issuer_name(crl,issuer);
    /* 设置上次发布时间*/

    lastUpdate=ASN1_TIME_new();
    t=time(NULL);
    ASN1_TIME_set(lastUpdate,t);
    ret=X509_CRL_set_lastUpdate(crl,lastUpdate);
    /* 设置下次发布时间*/

    nextUpdate=ASN1_TIME_new();
    t=time(NULL);
    ASN1_TIME_set(nextUpdate,t+1000);
    ret=X509_CRL_set_nextUpdate(crl,nextUpdate);
    /* 添加被撤销证书序列号*/

    revoked=X509_REVOKED_new();
    serial=ASN1_INTEGER_new();
    ret=ASN1_INTEGER_set(serial,1000);
    ret=X509_REVOKED_set_serialNumber(revoked,serial);
    rvTime=ASN1_TIME_new();
    t=time(NULL);
    ASN1_TIME_set(rvTime,t+2000);
    ret=X509_CRL_set_nextUpdate(crl,rvTime);
    ret=X509_REVOKED_set_revocationDate(revoked,rvTime);
    ret=X509_CRL_add0_revoked(crl,revoked);
    /* 排序*/

    ret=X509_CRL_sort(crl);
    /* 签名*/

    ret=X509_CRL_sign(crl,pkey,EVP_md5());
    /* 写入文件*/

    bp=BIO_new(BIO_s_file());
    BIO_set_fp(bp,stdout,BIO_NOCLOSE);
    X509_CRL_print(bp,crl);
    len=i2d_X509_CRL(crl,NULL);
    buf=malloc(len+10);
    p=buf;
    len=i2d_X509_CRL(crl,&p);
    fp=fopen("crl.crl","wb");
    fwrite(buf,1,len,fp);
    fclose(fp);
    BIO_free(bp);
    X509_CRL_free(crl);
    free(buf);
    getchar();
    return 0;
}
N阶二进制
关注
  • 36
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
openssl证书请求和自签名
侯海云
09-10 3454
目录目录 概念 PKICAX509 证书获取 获取证书两种方法 安全协议 SSL和TLS协议 OpenSSL OpenSSL开源项目 OpenSSL命令 对称加密enc 单向加密dgst 生成用户密码和随机数 生成密码对儿man genresa 随机数生成器伪随机数字 建立私有CA创建所需要的文件 CA自签证书 生成自签名证书 生成证书的各字段详解 证书申请过程 证书申请及签署步骤 创建CA和申请证
OpenSSL证书创建工具(最小绿色压缩包,含配置文件)
05-26
OpenSSL证书创建工具,用于证书创建、自签名等。 仅提取了openssl.exe、必须的2个DLL以及配置文件,直接解压后即可使用。 可参考我的博客《使用OpenSSL创建自签名证书》查看使用方法。
CRL解析demo
双鱼座程序媛的博客
10-15 234
public static Set getRevokedCertSnSet(byte[] crlFileBytes) throws CRLException, IOException, CertificateException { InputStream fis = new ByteArrayInputStream(crlFileBytes); CertificateFactory cf = CertificateFactory.getInstance("X.509"); X509.
CRL介绍
好习惯成就伟大
11-17 5030
证书撤销列表(Certificate Revocation List简称CRL),是一种包含撤销证书列表的签名数据结构。CRL证书撤销状态的公布形式,CRL就像信用卡的黑名单,用于公布某些数字证书不再有效。 CRL是一种离线的证书状态信息。它以一定的周期进行更新。CRL可以分为完全CRL和增量CRL。在完全CRL中包含了所有的被撤销证书信息,增量CRL由一系列的CRL来表明被撤销证书信息,它每次发布的CRL是对前面发布CRL的增量扩充。 基本的CRL信息有:被撤销证书序列号、撤销时间、撤销原因、
OpenSSL命令验证证书是否被撤销
冰冻三尺非一日之寒
04-13 2673
OpenSSL命令验证证书是否被撤销前言    验证证书是否被撤销。脚本代码    #!/bin/sh if [[ "$1" = "" || "$2" = "" || "$3" = "" ]]; then echo "certSignVerify.sh CAfile certfile crl" exit 0; fi res=`o
OpenSSL 密码库实现证书签发流程详解
zhuguanlin121的博客
10-20 1069
基础理论 openssl简介 对称加密和非对称加密 生成证书流程原理 CA签发流程 openssl基础操作
openssl 证书流程和概念
moonhillcity的博客
10-09 746
证书主要的文件类型和协议有: PEM、DER、PFX、JKS、KDB、CER、KEY、CSR、CRT、CRL 、OCSP、SCEP等。 PEM – Openssl使用 PEM(Privacy Enhanced Mail)格式来存放各种信息,它是 openssl 默认采用的信息存放方式。Openssl 中的 PEM 文件一般包含如下信息: 内容类型:表明本文件存放的是什么信息内容,它的形
Java——OpenSSL工具详解
吴声子夜歌的博客
12-01 3794
c 使用:号分隔输出-r 以coreutils的格式输出-d 输出调试信息-hex 以16进制的格式输出中,默认-binary 以二进制的格式输出-sign file 使用文件中的私钥签名摘要-verify file 使用文件中的公钥验证签名-prverify file 使用文件中的私钥验证签名-keyform arg 密钥文件格式,默认PEM-out filename 输出到文件名而不是stdout-signature file 要验证的签名文件-sigopt nm:v 签名参数。
数字证书及CA详解
热门推荐
lk2684753的博客
08-30 8万+
文章目录1. 证书1.1 证书的应用场景1.2 证书标准规范X.5091.2.1 证书规范1.2.2 证书格式1.2.3 CA证书1.3 公钥基础设施(PKI)1.3.1 什么是公钥基础设施1.3.2 PKI的组成要素用户认证机构(CA)仓库1.3.3 各种各样的PKI2.Fabric - ca2.1 简介2.2 基本组件2.3 安装2.4 初始化&快速启动2.5 服务端配置文件解析2.6...
X509证书详解
weixin_38451161的博客
08-23 2万+
本文源于两篇英文文档,将其合二为一,翻译过程参考了网上的其它翻译以求更加准确,在此对这些翻译文档的作者表示感谢! 文中介绍的OpenSSL版本较老,与现有的版本有很多不符之处,但万变不离其宗,核心原理还是很有参考价值的。 1)证书 X.509标准是密码学里公钥证书的格式标准。X.509 证书己应用在包括TLS/SSL(WWW万维网安全浏览的基石)在内的众多 Internet协议里,同时它也有很多非在线的应用场景,比如电子签名服务。X.509证书含有公钥和标识(主机名、组织或个人),并由证书颁发机.
CA.rar_c#crl_ca openssl_ep1kdl20.dll_证书
09-22
首先,CRLCertificate Revocation List)是CA用来声明已签发证书状态的一个列表。当证书持有者的私钥丢失、被盗或不再可信时,CA会将该证书添加到CRL中,这样其他系统在验证该证书时会知道它已被撤销,不应再被...
OpenSSL生成的ssl证书
01-11
**OpenSSL生成的ssl证书** 在互联网安全领域,SSL(Secure Socket Layer)证书是保障网站数据传输安全的重要工具。OpenSSL是一个开源的库,包含了各种加密算法,它提供了生成SSL证书的功能。本教程将详细介绍如何...
CA.zip_certificates_openssl 证书_数字证书
09-24
本主题将深入探讨如何使用Keytool和OpenSSL这两个工具来生成和签发数字证书。 首先,让我们了解什么是数字证书。数字证书是一种电子文档,由受信任的证书颁发机构(CA)签发,它包含公钥的所有者信息以及公钥本身。...
openssl生成证书
12-27
openssl生成证书】知识点详解 在IT领域,OpenSSL是一个强大的安全套接字层密码库,包含各种主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供丰富的应用程序用于测试或其他目的。生成证书是网络...
openssl 加密
jnrjian的博客
07-23 414
使用tar命令在Linux中加密文件可以通过两种方式实现:使用gzip压缩的同时加密,或者使用加密选项。– openssl enc -e -aes256:使用AES 256位加密算法对输入的数据进行加密。– archive.tar.gz.enc:加密后的输出文件名。– archive.tar.gz.enc:要解密的文件名。– -f archive.tar.gz:指定输出文件名。– -f archive.tar.gz:要解密的文件名。– xz:解压缩tar文件,同时解密加密的文件。
NET8部署Kestrel服务HTTPS深入解读TLS协议之Certificate证书
morliz的博客
07-25 725
X509证书和Windows证书管理机制解析
openssl req 详解
qq_41768644的博客
07-24 1126
openssl req详解
chrome 插件:content-script 部分逻辑在页面无法生效,可考虑插入 script 到页面上
最新发布
汤一飞
07-25 398
插入代码到页面具体方法, 参考该插件, 单独弄一个可独立运行的 js 文件, 打包好, content-script 里使用 chrome.extension.getURL 获取此 js 的地址, 生成 script , 指定地址, 加载。原理不清楚, 可能 content-script 运行的环境跟 script 运行的环境不同导致的吧, 从控制台里打印的语句也能看出来, 控制台也分了层级, 默认当前页面, 底下还有各种插件的控制台。
openssl 生成证书 详解
04-01
OpenSSL是一个开源的加密库,可以用来生成证书、加密和解密数据以及生成密钥等。在Linux和Unix系统中,OpenSSL已经预装了。在Windows系统中,需要下载并安装OpenSSL。 以下是使用OpenSSL生成证书的步骤: 1. 生成私钥 首先,需要生成一个私钥。私钥是一串密文,用于加密和解密数据。在命令行中输入以下命令: openssl genrsa -out private.key 2048 其中,-out指定生成的私钥文件名为private.key,2048指定私钥长度为2048位。 2. 生成证书请求 生成私钥后,需要生成一个证书请求。证书请求包含了需要证书签名的信息,如组织名称、域名等。在命令行中输入以下命令: openssl req -new -key private.key -out request.csr 其中,-new指定生成一个新的证书请求,-key指定使用先前生成的私钥,-out指定生成的证书请求文件名为request.csr。 在生成证书请求时,需要输入一些信息,如组织名称、组织单位、城市等。这些信息将被用于证书签名。 3. 签发证书 生成证书请求后,需要将其发送给证书颁发机构(CA)签名。如果是自签名证书,可以使用以下命令自行签名: openssl x509 -req -days 365 -in request.csr -signkey private.key -out certificate.crt 其中,-req指定使用证书请求签发证书,-days指定证书有效期为365天,-in指定证书请求文件名为request.csr,-signkey指定使用先前生成的私钥签名,-out指定生成的证书文件名为certificate.crt。 4. 将证书和私钥打包 生成证书后,需要将证书和私钥打包,以便在需要时一起使用。在命令行中输入以下命令: openssl pkcs12 -export -in certificate.crt -inkey private.key -out certificate.p12 其中,-export指定将证书和私钥打包,-in指定证书文件名为certificate.crt,-inkey指定私钥文件名为private.key,-out指定生成的打包文件名为certificate.p12。 5. 验证证书 最后,可以使用以下命令验证证书是否正确: openssl verify certificate.crt 如果证书正确,会输出certificate.crt: OK。 以上就是使用OpenSSL生成证书的详细步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

N阶二进制

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值