使用OpenSSL模拟SSL证书验证过程

最新推荐文章于 2024-03-28 19:59:56 发布
最新推荐文章于 2024-03-28 19:59:56 发布
阅读量5.3k 收藏
点赞数
文章标签: TCP/IP TLS 数字证书 pfx cert rsa 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CubieLee/article/details/107120847
版权

准备

准备好需要验证的两个证书,这里使用DigiCert与GeoTrust RSA CA 2018。
前者是根证书,后者是中间证书。

可以使用Windows徽标键+R运行certmgr.msc查看存储在电脑内的证书,然后右键使用Base64格式导出。
在这里插入图片描述

安装OpenSSL(自行百度)

提取公钥、签名与被签名的数据

命令行openssl提取根证书公钥:

openssl x509 -in root.cer -pubkey -noout > root_pub.key


从中间证书提取签名:

首先查看openssl对证书的分析

openssl x509 -in intermediate.cer -text -noout

输出:
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            05:46:fe:18:23:f7:e1:94:1d:a3:9f:ce:14:c4:61:73
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
        Validity
            Not Before: Nov  6 12:23:45 2017 GMT
            Not After : Nov  6 12:23:45 2027 GMT
        Subject: C = US, O = DigiCert Inc, OU = www.digicert.com, CN = GeoTrust RSA CA 2018
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:bf:8a:d1:63:4d:e1:18:ea:87:5d:e8:16:3c:8f:
                    7f:b6:be:87:17:37:a4:0c:f8:31:3f:9f:45:54:40:
                    21:d7:9d:07:9b:ca:03:23:4a:bd:9b:ed:85:02:63:
                    3f:9f:85:b9:ec:28:ef:f2:86:22:db:f8:4d:54:41:
                    c5:b4:42:7f:cf:33:17:01:0e:82:90:52:d3:c7:34:
                    a4:c1:a1:01:da:32:a0:40:ad:1f:59:e4:33:fc:a0:
                    c3:96:ac:68:6c:d3:e8:99:73:8c:26:10:77:cb:b7:
                    3f:39:32:e8:d2:59:28:ee:07:86:e2:09:3b:85:f8:
                    aa:69:f6:a9:6b:9f:58:ad:72:c8:5b:87:66:ae:08:
                    e0:74:fb:2d:53:43:62:83:3d:8f:85:4c:11:97:dc:
                    1e:fc:50:30:b8:83:08:32:5e:5c:5c:c4:e1:75:20:
                    4a:eb:a5:d6:75:2d:dc:2d:7d:7c:e0:d0:fe:7c:75:
                    a1:4e:40:02:84:9a:d9:0d:5a:2e:a0:ac:f3:35:8a:
                    2a:ea:d6:5a:5a:6c:8e:2c:ab:f6:de:fd:78:47:26:
                    79:7a:aa:22:ea:a9:e6:71:12:03:d3:f8:ba:53:d2:
                    79:9c:bd:64:ac:f6:1b:63:bb:4d:8f:38:02:f8:f0:
                    57:5d:c5:aa:25:5a:0c:5d:c5:30:fe:20:53:19:6c:
                    e9:c3
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                90:58:FF:B0:9C:75:A8:51:54:77:B1:ED:F2:A3:43:16:38:9E:6C:C5
            X509v3 Authority Key Identifier:
                keyid:03:DE:50:35:56:D1:4C:BB:66:F0:A3:E2:1B:1B:C3:97:B2:3D:D1:55

            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Basic Constraints: critical
                CA:TRUE, pathlen:0
            Authority Information Access:
                OCSP - URI:http://ocsp.digicert.com

            X509v3 CRL Distribution Points:

                Full Name:
                  URI:http://crl3.digicert.com/DigiCertGlobalRootCA.crl

            X509v3 Certificate Policies:
                Policy: X509v3 Any Policy
                  CPS: https://www.digicert.com/CPS

    Signature Algorithm: sha256WithRSAEncryption
         30:f1:87:55:3d:84:08:fc:2e:5e:6a:ba:7c:d2:cd:d5:2c:e3:
         be:02:da:5d:89:77:ed:f4:e9:56:c0:92:f0:2a:55:2d:45:f7:
         1c:2a:3f:10:5b:f3:e9:e1:be:e1:e9:00:25:b9:f7:a3:c1:03:
         1b:e3:9e:4e:8e:92:1b:09:95:52:f9:ac:18:fd:1f:29:01:8b:
         17:0a:73:34:f4:67:12:55:ee:22:bc:cb:30:ca:80:99:3f:fb:
         cf:12:7f:cb:3d:18:47:85:d8:14:3e:4f:0c:94:3f:7b:f5:11:
         a8:51:6c:fb:a8:60:30:a8:90:a1:8b:6f:2e:45:db:37:b6:1c:
         7e:bd:16:59:21:b1:32:67:ad:8d:a3:4b:49:3f:3b:12:19:2c:
         fc:9d:0f:ff:8c:ff:01:23:0a:f3:04:05:07:e5:67:01:01:b9:
         af:81:67:eb:29:cb:af:f8:fc:86:3e:a4:5c:73:84:f9:e5:39:
         73:ac:19:f3:03:36:77:a0:29:68:f5:f4:ef:3b:d3:ee:88:73:
         0a:ac:2e:95:ea:68:22:d2:cd:ac:6b:f8:1b:5e:53:c2:0f:d6:
         76:e1:75:0c:c4:91:25:c0:85:53:0e:e2:81:d1:0e:18:30:c9:
         67:a4:df:d0:0a:12:78:07:40:05:b1:0f:83:53:43:42:3b:e7:
         fb:f1:77:fb

最后Signature Algorithm:sha256WithRSAEncryption后的字节就是签名(\x30~\xfb)
使用WinHex、Ultraedit以纯二进制保存这256个字节

从中间证书提取被签名部分

  1. 转换证书为二进制
    使用工具将base64形式的证书转为纯二进制
    Python代码:
import base64
f = open("intermediate.cer","r")
#删除Begin Certificate和End Certificate
list1 = f.read().split("\n")
encoded = "".join(list1[2:-2])

decoded = base64.b64decode(encoded)
f2 = open("binary.bin","wb")
f2.write(decoded)
f2.close()
  1. 提取被签名部分
    在得到的二进制证书的开头删去4个字节,末尾删去签名x+20个字节(x为签名的字节数,在本证书中为256)
    最后得到(这是hex stream,保存仍需以二进制保存)
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

使用OpenSSL验证

现在已经得到根证书公钥、中间证书的签名和被签名部分,已经可以验证
命令行openssl验证:

openssl dgst -sha256 -verify root_pub.key -signature intermediate.sig binary.bin
输出:Verified OK

root_pub.key:根证书公钥
intermediate.sig:中间证书签名
binary.bin:中间证书被签名部分

验证完毕

CubieLee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用C语言开发OpenSSL中TLS证书的校验
M2kar的专栏
05-31 5866
使用C语言开发OpenSSL中TLS证书的校验 开发环境 ubuntu 16.04 WSL(Windows 10 内建的Linux系统) Libssl-dev (openssl 的库) Clion 开发环境的搭建 WSL环境安装 参考 WSL(Windows Subsystem for Linux)的安装与使用 安装必备的开发环境包 我的Ubuntu 开发环境配置 sudo ...
本地ssl证书生成工具
03-19
SSL(Secure Sockets Layer)证书是互联网安全领域的重要组成部分,用于加密用户与服务器之间的通信,确保数据在传输过程中不被窃取或篡改。在本地生成SSL证书,可以帮助开发者在测试环境中模拟真实环境的安全设置,...
通过openssl验证ssl证书匹配性
热门推荐
huakai_sun的博客
08-18 1万+
背景:SSL证书是private key + public key一起工作才能完成加密过程的。 大致来说就是client在handshake过程中先拿public key加密发送随机session encryption key set以及其它关键信息,通过public key密码的报文只能通过server端安装的SSL certificate key pair中的private key才能进行解...
openssl 用根证书验证一个用户证书
求索
01-13 6350
#include #include #include using namespace std; #define USER_CERT "用户证书路径"                // 这里保存的是pem格式证书 #define CA_CERT "根证书路径" int main() {  SSLeay_add_all_algorithms();  X509_STORE_
OpenSSL证书认证过程
Jonas0828的博客
03-16 2933
OpenSSL证书认证过程 游戏服务端这块,之前是很少用SSL的,毕竟游戏里的数据没有什么保密的必要,登录、充值也是传输签名,不涉及密码什么的。不过这几年,HTTPS普及得比较快,H5游戏发展迅速。H5游戏是基于web的,和后端通信一般走websocket,加不加SSL其实对于游戏影响不大。但是不少平台都要求加SSL的,一是用户通过浏览器玩游戏时,地址栏里有个锁头体验还是好点,二是丧心病狂的黑产会劫持链接加上广告,想象一下在玩游戏时,右下角弹个广告是啥体验。 虽说用上SSL,不过并不一定就要自己实现SSL
OpenssL认证实现原理详述
Hank-Android
03-16 2204
OpenssLL认证原理详解  一、OpenssL单向认证原理详解 1、客户端的浏览器向服务器传送客户端 OpenssL协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息。   2、服务器向客户端传送 OpenssL协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书。   3、客户利用服务器传过来的信息验证
SSL认证过程介绍
03-04 8503
1、SSL概述 安全套接层(Secure Socket Layer,SSL )是一种在两台机器之间提供安全通道的协议。它具有保护传输数据以及识别通信机器的功能。安全通道是透明的,意思就是说它对传输的数据不加变更。客户与服务器之间的数据是经过加密的,一端写入的数据完全是另一端读取的内容。透明性使得几乎所有基于TCP 的协议稍加改动就可以在SSL 上运行,非常方便。 Netscape公司在推出第一个Web浏览器的同时,提出了SSL协议标准,目前已有3.0版本。SSL采用公开密钥技术。其目标是保证两个应用间通
OpenSSL安装包,可用于HTTPS,鉴权证书生成
06-10
它通过使用SSL/TLS证书对传输的数据进行加密,确保数据在传输过程中不被第三方截取或篡改,同时还能验证服务器的身份,防止中间人攻击。 3. **OpenSSL证书**:在启用HTTPS服务时,需要一个数字证书来证明服务器的...
openssl生成的证书demo
05-14
3. **配置和使用证书:** 在实际应用中,你需要将生成的证书和密钥部署到相应的服务器或客户端软件中。对于Web服务器,如Apache或Nginx,你需要在配置文件中指定服务器证书和私钥。客户端应用程序,如浏览器或HTTPS...
Linux平台openssl工具生成CA证书的命令 配置文件 证书
12-24
在生成CA证书过程中,我们主要使用以下OpenSSL命令: 1. **生成私钥**:首先,我们需要创建一个私钥,这是所有证书的基础。使用`openssl genpkey`或`openssl rsa`命令生成RSA密钥对,例如: ```bash openssl ...
模拟SSL通讯
08-08
- 开发者可以使用开源库如OpenSSL来模拟SSL通讯,实现客户端和服务器的加密连接。 - 需要理解SSL/TLS的API接口,如SSL_CTX对象、SSL对象等,以及如何创建、初始化、连接和断开SSL会话。 6. **工具辅助**: - ...
使用OpenSSL工具验证证书
最新发布
Htojk的博客
03-28 1369
验证证书文件的原理是基于公钥加密技术。证书中包含公钥,私钥由证书所有者保留。当客户端与服务器建立安全连接时,服务器会将证书发送给客户端,客户端使用包含在证书中的公钥来验证服务器身份,并加密通信数据。如果证书有效且签名有效,则客户端可以相信服务器的身份,建立安全通信。:SSL 证书通常包含公钥、证书所有者的信息、证书颁发机构(Certificate Authority, CA)的签名以及证书的有效期等信息。以上命令将检查证书的签名链是否可以追溯到根证书,并给出验证结果。
利用openssl 库制作证书以及验证
悠悠茹的小窝
07-25 995
RSA证书: CA证书 openssl genrsa -out cakey.key 1024/2048    这个命令会生成一个1024/2048位的密钥。 openssl req -new -x509 -key cakey.key -out cacert.pem -days 1234 这个命令将用上面生成的密钥cakey.pem生成一个数字证书cacert.pem 用户证书: op...
基于openssl库函数完成CA对用户证书的认证
tutu_hu的博客
06-04 1604
本文先介绍了由openssl提供的对X509证书操作的相关函数,后基于这些函数完成CA对颁发的user证书验证,同时会集合CRL吊销列表的查询。
Openssl安全与认证
weixin_33695082的博客
07-03 604
SSL :secure socketslayer 安全的套接字层。这是网井公司为了给httpd传输协议加密在应用层和传输层加了一层库,实现传输加密用的,这个库能够在写程序的时候,调用这个库,完成加密解密功能,能帮着完成秘钥分发功能;如果不调用也可以正常的时候只使用httpd不进行加密,所以这个是公用的一个库。http协议调用了SSL,则成为https。但是httpd和htt...
OPENSSL s_client 实例测试- SSL连接单向验证
wk59121的专栏
11-06 7920
近日在开发项目时使用到wifi,3/4G通讯。 由于行业问题,当连接服务器时需要对服务器,客户端做双向认证。 在行业内,设备需要进行PCI认证,所有的通讯必须进行加密,连接服务器必须支持双向认证,以保证连接的服务器是安全的,保证客户端设备是授权的。 测试准备 操作工具:OPENSSL 可自行下载安装。 客户端证书,以及客户端私钥。 测试过程 以下过程我们以: www.baidu.com 为服务器,测试客户端。 openssl版本信息 C:\Users\Risten&gt...
openssl验证书是否一致
Mr_WoLong
02-07 625
openssl验证书是否一致
openssl 证书验证
swj9099的博客
08-05 6084
本节中我们快速浏览一下证书验证的主干代码。读者可以采用上节中生成的VC工程进行验证。 下面列出关键部分代码,为方便阅读,仅保留与证书验证强相关的代码,去掉了诸如变量定义、错误处理、资源释放等非主要代码,并修改了排版格式。 // 初始入口为 apps\verify.c 中的 MAIN 函数 // 为利于代码阅读,下面尝试将相关代码放在一起(采用函数调用栈的形式,被调用函数的代码排版缩进...
OpenSSL生成CA自签名根证书和颁发证书
FLY的博客
08-05 6333
openssl ca
使用openssl自制ssl证书
08-17
您可以按照以下步骤使用 OpenSSL 创建自签名 SSL 证书: 1. 安装 OpenSSL:首先,您需要安装 OpenSSL 工具包。您可以通过在终端中运行适用于您的操作系统的相应命令来安装它。 2. 生成私钥:使用以下命令生成一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值