基于gmssl实现国密证书签发验证

最新推荐文章于 2024-06-11 15:08:40 发布
最新推荐文章于 2024-06-11 15:08:40 发布
阅读量4k 收藏 13
点赞数
分类专栏: Encrypt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AlexYoung28/article/details/104154896
版权

本次实现的系统为 Linux环境,在Windows下的 gmssl 安装应该也差不多,所以环境影响不大。

1.根CA的生成

系统建立CA时,需要先在离线状态下建立一个根CA。根CA所需要的文件夹有certs(证书文件夹)、crl(吊销数据文件夹)、newcerts(新生成的证书文件夹)、private(私有数据文件夹)。同时还需要在本地生成数据记录文件index.txt,用以记录对证书的操作,需要初始化设定序列号。

执行的初始化操作如下:

mkdir certs clr newcerts private
touch index.txt
echo “01” > serial

 随后,便可以生成根 CA 的 sm2 公私钥对,使用命令如下,生成的密钥文件为 root-cakey.pem

gmssl ecparam -genkey -name sm2p256v1 -out private/root-cakey.pem

然后,生成根 CA 的证书请求。使用的算法为 sm3 签名算法,生成的证书请求为 root-cacsr.pem.

gmssl req -new -sm3 -key private/root-cakey.pem -out root-cacsr.pem

最后让根 CA 对自己的证书请求进行自签名生成证书文件,生成的证书有效期为365天,证书文件名称为 root-cacert.pem。

gmssl req -x509 -sm3 -days 365 -key private/root-cakey.pem -out root-cacert.pem

生成的根CA证书信息如下,我们可以看到该证书的公私钥为SM2算法生成,对证书的签名算法采用SM3。证书的发布者和证书主体信息一致,说明该证书是由自签名生成。

       到此,根CA建立完成,可为二级CA的证书进行签发。

2. 二级 CA 的生成

二级CA生成SM2公私钥的命令为,使用的算法为sm2。生成的密钥文件为sub-cakey.pem。

gmssl ecparam -genkey -name sm2p256v1 -out private/sub-cakey.pem

生成证书请求的命令为,使用的签名算法为sm3。生成的证书请求为sub-cacsr.pem。

gmssl req -batch -new -sm3 -key private/sub-cakey.pem -out sub-cacsr.pem

根CA生成二级CA证书命令如下,使用sm3算法。生成的二级CA证书名称为sub-cacert.pem。

gmssl ca -md sm3 -extensions v3_ca -in sub-cacsr.pem -out newcerts/sub-cacert.pem -days 365 -cert root-cacert.pem -keyfile ./private/root-cakey.pem

生成的二级CA证书如下图所示,可以看到证书的发布者信息与根CA信息一致,说明该证书由根CA签发。同时该证书主体信息与我们管理界面输入的信息一致。

        自此,一个二级CA的初始化已经完成。

3.用户证书的签发

用户私钥对生成:

gmssl ecparam -genkey -name sm2p256v1 -out thirdkey.pem

用户证书请求生成:

gmssl req -new -sm3 -key thirdkey.pem -out thirdcsr.pem

随后二级CA签发用户证书请求:

gmssl ca -batch -md sm3 -extensions v3_ca -in thirdcsr.pem -out thirdcert.pem -days 365 -cert sub-cacert.pem -keyfile private/sub-cakey.pem

生成的用户证书如下:

4. 证书吊销

吊销用户证书如下,所示:

openssl ca -keyfile ./private/sub-cakey.pem -cert ./sub-cacert.pem -revoke thirdcert.pem

吊销之后的index.txt的内容变化如下图所示,可以看到证书的状态从已经验证状态“V”转换到已经吊销状态“R”。

A1exxx
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
国密gmssl安装,签名验签,证书生成撤销功能汇总
qq_30531921的博客
05-17 1717
gmssl命令行使用
基于gmssl国密sm2 加密,解密,签名,验签代码
12-22
基于gmssl 的 sm2 加密,解密,签名,验签代码。绝对可运行的代码程序(自行编写HexToASCII,ASCIIToHex函数), 公钥,私钥均为16进制字符串形式。 编译命令g++ main.cpp -lcrypto -lKYLib -L./ -I ./ -Wl,-rpath=/usr/local/testsm_gmssl -std=c++98 -w -Wfatal-errors -fPIC -fexceptions
openssl工具国际/国密签名命令行流程
最新发布
月出皎兮。 佼人僚兮。 舒窈纠兮。 劳心悄兮。
06-11 443
跳槽文档带不出来,每次开发设计安全启动都要重新调试一边openssl工具用于国际和国密算法签名的命令行参数。这次直接记录到csdn,以备将来之需。以下命令基于OpenSSL 1.1.1f,其它版本慎用。
GmSSL证书生成及验证C/S通信双向认证
xiejianjun417的专栏
06-04 7505
1.https://github.com/guanzhi/GmSSL下载源码,解压后到源码目录下执行以下命令: ./config make make install //必须安装,否则后续执行gmssl会因为打开openssl.cnf出错。gmssl内部处理问题 2.证书生成准备: cd apps/demoCA/ mkdir certs crl newcerts priva...
使用gmssl生成国密证书
05-19 783
【代码】使用gmssl生成国密证书
gmssl生成ca证书 ca证书签发用户证书
12-25
本工具包含windows版本编译好的gmssl.exe(Linux版本需自己编译,命令行是通用的),以及方便签发证书的bat文件,gmssl命令行详细解释。可以用来生成ca证书,并且用ca证书签发用户证书
GmSSL源码与签发SM2证书
01-08
资源中包含GmSSL源码能直接编译通过,也可直接使用编译后的文件进行相关操作;包含编译方法与签发SM2证书方法
gmssl制作国密SM2证书
06-21
gmssl制作国密SM2证书的方法,符合国密标准
国密SM2/SM3/SM4/SM9算法及国密证书签发工具
02-10
1、根证书、子证书签发; 2、证书签发者、使用者、有效期可自定义; 3、产生标准P10、封装成P7格式的P10。 三、各算法实现代码连接 1、SM2:https://download.csdn.net/download/qq42750617/13188634 2、SM3:...
国密数字证书验证-SM2、SM3、SM4
11-22
总结来说,国密数字证书验证涉及SM2、SM3、SM4等国密算法,它们共同构建了一套安全的数字证书验证体系,为我国的信息安全提供了坚实的基础。通过理解并正确运用这些算法,我们可以确保网络通信的隐私和真实性,有效...
Gmssl两种证书demo
03-17
2. EV(扩展验证证书:EV证书是更高级别的证书,除了提供标准证书的安全功能外,还通过更严格的验证过程来增强用户信任。在浏览器中,拥有EV证书的网站的URL栏通常会显示为绿色,并显示发行证书的权威机构名称,...
gmssl 读取ssm2 证书
03-19
gmssl 读取 sm2 *.cer 和 *.p12 文件,目前相关资料较少。希望对大家有用。
GMSSL双向认证分析.docx
12-17
以实际的测试数据为例,分析了GMSSL双向认证的过程。 包含认证证书解析、认证算法,包含国密算法SM2、SM3、SM4在TLS双向认证过程中的使用等。 GMSSL代码为开源的,因此分析中也描述了一些在分析双向认证中涉及的开源代码文件。这些文件可以相信做分析和学习。
android ssl证书验证
11-15
android ssl证书验证
GmSSL签名验证(GmSSL 命令行)
qq_63016521的博客
10-07 626
GmSSL签名验证(GmSSL 命令行)
gmssl 生成SM2证书、加密、解密、签名、验签
beebeeyoung的博客
12-11 5817
1. 生成SM2密钥对 gmssl ecparam -genkey -name sm2p256v1 -out sm2keypair.pem -text 2.查看SM2密钥对 gmssl ec -in sm2keypair.pem -text 3.生成自签名证书 gmssl req -x509 -key sm2keypair.pem -subj "/C=CN/ST=BJ/L=BJ/O=HD/OU=dev /CN=hello/emailAddr...
GMSSL签发证书
11-27 1245
#### gen sm key gmssl ecparam -genkey -name sm2p256v1 -out cakey.pem #### gen cert req file gmssl req -new -sm3 -key cakey.pem -out ca.csr -subj /C=CN/ST=Beijing/L=Haidian/O=Datang/OU=SDT/CN=Shixu...
国密GmSSL v2版本命令行方式生成国密sm2私钥、公钥、签名和验证签名
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
09-07 2867
GmSSL国密算法的工具库(主要包含SM2、SM3、SM4和国密SSL证书生成等功能),项目本身是OpenSSL的分支,但是截至文章发布为止,OpenSSL主分支的国密算法并不完善,目前并不支持签名和解签,所以国密算法这块还是需要使用GmSSL工具库。网上现在并没有v2版本的GmSSL可用的命令行文章,本章用于记录这些命令。本文原创自csdn博客,其他网站看到这篇文章都是盗,版,爬。虫。网站,支持原创,远离盗版。
OpenSSL/GMSSL EVP接口说明——3.4 签名验签
云与山的彼端
04-05 5651
OpenSSL/GMSSL EVP接口说明——3.4 签名验签
使用gmssl自签国密证书
07-17
要使用gmssl自签国密证书,您可以按照以下步骤进行操作: 1. 首先,确保您已经安装了gmssl工具。您可以通过以下命令来验证: ``` gmssl version ``` 2. 生成私钥文件。运行以下命令生成一个私钥文件(例如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值