使用OpenSSL创建包含自签名、本地测试分发点CRL的CMS signedData(M3 Mac)

于 2024-04-12 15:29:53 发布
阅读量678 收藏 13
点赞数 8
文章标签: 安全 经验分享 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jasmine_xyy/article/details/137667034
版权

使用OpenSSL创建包含CRL的CMS signedData


前提:
已安装vscode、openssl

撤销rsacert-plus-revoke.crt

配置CRL服务器:在准备放crl.pem的位置终端

python3 -m http.server

编辑openssl.cnf配置crl分发点

[ v3_ca ]
# ... other settings ...
crlDistributionPoints = URI:http://localhost:8000/crl.pem

生成证书,openssl x509和openssl ca都可以颁发证书,但是需要在证书的扩展字段添加crl的颁发点,就需要使用openssl ca
生成csr
注:commonName不可为空,输入的是CN

openssl req -new -key rsakey2048.pem -out rsacert-plus.csr
openssl ca -extensions v3_ca -in rsacert-plus.csr -out rsacert-plus.crt

再生成一个被撤销的证书,一样的命令,但是commonName输入CN2

openssl req -new -key rsakey2048.pem -out rsacert-plus-revoke.csr
openssl ca -extensions v3_ca -in rsacert-plus-revoke.csr -out rsacert-plus-revoke.crt

由于配置文件里写死了cakey.pem的文件名
所以自己生成目录和目录下的文件,会在撤销时找./demoCA/private/cakey.pem
./demoCA/cacert.pem
创建目录和文件

mkdir demoCA
mkdir demoCA/newcerts
mkdir demoCA/private
touch demoCA/index.txt
echo 01 > demoCA/serial
echo 01 > demoCA/crlnumber

生成CA密钥和证书

cd ./demoCA/private
openssl req -newkey isa:2048 -nodes -keyout cakey.pem -x509 -days 365 -out cacert.pem
mv cacert.pem ../

撤销证书

cd ../..
openssl ca -revoke ./rsacert—plus-revoke.crt

生成crl

openssl ca -gencrl -out ./crl.pem

创建CMS

生成不含crl的cms

openssl cms -sign -in temp.txt -outform DER -signer rsacert-plus.crt -inkey rsakey2048.pem -out cms-plus.der

openssl不支持使用命令行创建包含crl的cms,需要自己编写代码来调用openssl的API来创建
查看openssl的安装路径:
which openssl
在vscode里编写代码,

#include <openssl/cms.h>
#include <openssl/bio.h>
#include <openssl/x509.h>
#include <openssl/x509_vfy.h>
#include <openssl/pem.h>
#include <openssl/err.h>

int add_crl_to_cms(const char *cms_in_path, const char *crl_path, const char *cms_out_path) {
    BIO *cms_bio = NULL;
    BIO *crl_bio = NULL;
    BIO *out_bio = NULL;
    X509_CRL *crl = NULL;
    CMS_ContentInfo *cms = NULL;
    int ret = 1; // 失败为1,成功为0

    // 读取CMS文件
    cms_bio = BIO_new_file(cms_in_path, "rb");
    if(!cms_bio){
        fprintf(stderr, "读取cms失败\n");
        goto err;
    }
    cms = d2i_CMS_bio(cms_bio, NULL);
    if(!cms){
        fprintf(stderr, "解析cms失败\n");
        goto err;
    } 

    // 读取CRL文件
    crl_bio = BIO_new_file(crl_path, "rb");
    if(!crl_bio){
        fprintf(stderr, "读取crl失败\n");
        goto err;
    }
    crl = PEM_read_bio_X509_CRL(crl_bio, NULL, 0, NULL);
    if(!crl){
        fprintf(stderr, "解析crl失败\n");
        goto err;
    } 

    // 添加CRL到CMS
    if(!CMS_add0_crl(cms, crl)){
        fprintf(stderr, "添加CRL到CMS失败\n");
        goto err;
    } 

    // 写CMS到文件
    out_bio = BIO_new_file(cms_out_path, "wb");
    if(!out_bio){
        fprintf(stderr, "创建输出文件失败\n");
        goto err;
    } 
    if(!i2d_CMS_bio(out_bio, cms)){
        fprintf(stderr, "写入CMS到文件失败\n");
        goto err;
    } 

    ret = 0; // 成功

err:
    if(ret != 0) ERR_print_errors_fp(stderr);
    if(cms_bio) BIO_free(cms_bio);
    if(crl_bio) BIO_free(crl_bio);
    if(out_bio) BIO_free(out_bio);
    if(cms) CMS_ContentInfo_free(cms);
    if(crl) X509_CRL_free(crl);
    return ret;
}

int main(int argc, char *argv[]) {
    // 检查命令行参数
    if(argc != 4) {
        fprintf(stderr, "用法: %s <cms输入路径> <crl路径> <cms输出路径>\n", argv[0]);
        return 1;
    }
    
    // 调用函数添加CRL到CMS
    if(add_crl_to_cms(argv[1], argv[2], argv[3]) != 0) {
        fprintf(stderr, "添加CRL到CMS失败\n");
        return 1;
    }

    printf("CRL已成功添加到CMS\n");
    return 0;
}

编译:在vscode的终端使用gcc编译
注:-lssl -lcrypto是必须的,-L后面和-I后面换成自己之前which openssl的路径

gcc cms.c -o cms -L/opt/homebrew/opt/openssl/lib -I/opt/homebrew/opt/openssl/include -lssl -lcrypto

然后再运行cms

sudo ./cms ./cms-plus.der ./crl.pem ./cms-plus-full.der

验证CMS

openssl cms -verify -inform DER -in cms-plus.der -content temp.txt -signer rsacert-plus.crt -CAfile ./demoCA/cacert.pem

结果:

CMS Verification successful
sunny_cube
关注
  • 8
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
revoker:CRL分发和OCSP响应程序的Java实现
04-30
介绍 该存储库包含Java 8的证书吊销列表(CRL分发和在线证书状态协议(OCSP)响应程序的实现。 概述 此应用程序是Dropwizard应用程序,可以响应给定CA的CRL请求和OCSP请求。 您需要为应用程序提供对CA索引文件的访问权限,该索引文件实际上是CA的数据库,crl文件以及一个Java密钥库,其中包含用于签名OCSP响应的密钥和证书链。 这些都在conf.yml文件中完成。 运行应用程序 要测试该应用程序,请运行以下命令。 要打包应用程序,请运行: mvn package 要运行服务器,请运行: java -jar target/revoker-0.1.0.jar server conf.yml 要使用管理员操作菜单,请浏览器浏览至: http://localhost:8081 您可以使用以下openssl命令来测试OCSP是否正常工作 openssl ocsp
通过 crl分发 获取crl文件_什么是证书吊销列表(CRL)?吊销列表起什么作用?...
weixin_39934302的博客
12-05 1775
证书吊销列表 (Certificate Revocation List ,简称:CRL) 是 PKI 系统中的一个结构化数据文件,该文件包含了证书颁发机构 (CA) 已经吊销的证书的序列号及其吊销日期。CRL 文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间,以及采用的签名算法等。证书吊销列表最短的有效期为一个小时,一般为 1 天,甚至一个月不等,由各个证书颁发机构在设置其证书颁发系...
使用CryptoAPI获取证书扩展属性之四:“CRL分发”和“颁发机构信息访问”
密码开发者
09-29 3501
介绍如何使用CryptoAPI解析CA证书、获取“CRL 分发”和“颁发机构信息访问”扩展属性
OpenSSLCRL
weixin_34259232的博客
06-22 821
2019独角兽企业重金招聘Python工程师标准>>> ...
openssl生成CRL
最新发布
qq_28129193的博客
02-27 380
(当然我们用本测试CA时其时很少用到该命令,除非专门用于测试吊销证书的情况)注意:如果网管导入不进去,可能是制作的crl证书编码有问题,网管对CRL需要是DER编码。6.生成客户端证书,使用根证书签名(client-cert.cer)4.生成客户端key(client-key.key)2.创建根证书请求文件(root-req.csr)1.创建根证书私钥(ca.key)七、生成证书吊销列表文件(CRL)3.自签根证书(ca.cer)六、吊销证书(作废证书)
HowToCreateSelfSignviaOpenSSL:如何使用openssl创建签名
02-08
如何使用openssl创建签名 OpenSSLMacOS X,Linux,* BSD和Unixes的大多数安装附带的免费实用程序。 您还可以下载二进制副本以在Windows安装上运行。 创建您自己的私有证书颁发机构所需的只是OpenSSL创建自己...
使用openssl生成自签名证书
06-13
使用openssl生成IIS可用的SHA-256自签名证书 超详细步骤!
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
在网络安全中,OpenSSL 是一个强大的安全套接层 (SSL) 工具包,它包含了各种用于处理加密通信所需的工具,包括生成证书、密钥以及执行加密操作。本文将详细介绍如何使用 OpenSSL 创建和管理CA证书、服务器证书和...
self-signed-ssl:使用OpenSSL生成自签名TLS证书
03-21
签名TLS该脚本可简化使用OpenSSL创建证书颁发机构和自签名TLS证书的过程。用法self-signed-tls [OPTIONS]self-signed-tls --trust -c US -s California -l 'Los Angeles' -o 'Example Org' -u 'Example Unit'self-...
使用 OpenSSL 命令行进行 ECC 签名及验签
01-07
首先查看一下 OpenSSL 内建了哪些椭圆曲线,使用命令为: openssl ecparam -list_curves  选择一条椭圆曲线创建 ECC 公私钥对,这里使用 secp256k1,执行命令: openssl ecparam -name secp256k1 -genkey -out ec....
openssl签发证书
吴东方的博客
12-28 6546
导言: 有时候,使用SSL协议是自己内部服务器使用的,这时可以不必去找第三方权威的CA机构做证书,可以做自签证书 使用openssl签发证书分为四个步骤:生成密钥对、生成证书请求、创建一个root CA、签发证书 一、生成密钥对 1、生成rsa密钥 (1)生成私钥 使用命令openssl genrsa: openssl genrsa -out private.key 2048 如果想为这个key值加密,可使用命令: openssl genrsa -aes128 -out private
数字证书的相关专业名词(中)---根证书和CRL,以及java中CRL的获取和验证方法
学习不止境的博客
04-04 3202
该篇文章讲解了根证书和CRL,以及java中如何获取crl url,以及通过CRL url校验证书有效性
Openssl CMS/P7S数字签名校验
Raygo的博客
03-27 2264
使用OpenSsl进行CMS/p7s数字签名校验,包括命令行和代码实现
CRL和OSCP、LDAP
lingdukafeibj的博客
04-27 2731
签名验签服务器规范明确写出签名验签服务器应支持与CA基础设施的连接功能,包括CRL连接配置、OSCP连接配置。看完后一头雾水,首先需要了解什么是CRL 1、证书吊销列表(Certificate Revocation List,简称:CRL) 是PKI系统系统中的一个结构化的数据文件,该文件包含了证书颁发机构(CA)已经吊销的证书的序列号及其吊销日期。CRL文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间、以及采用的签名算法等。证书吊销列表最短的有效期为1个小时,一般为1天,甚至1个月不等,
CRL问题与OCSP
大力海棠的博客
02-17 5092
从证书的扩展项CRL分发可以看到,CRL证书吊销列表,是服务器身份验证的一部分,验证证书除了校验签名值外,还要校验证书的吊销状态,如果一张证书已过期,或者被吊销,那么身份校验失败。要注意的是,证书过期并不代表其被吊销,证书过期了便无效,如果证书没有过期,但因为某种原因被吊销了,也一样无效。我们知道,浏览器校验证书吊销状态时,会通过CRL分发找到CRLs文件的URL,然后去下载CRLs文件,从中...
openssl crl 使用方法
weixin_33929309的博客
01-09 558
用途:crl工具,用于处里PME或DER格式的CRL文件。-inform arg:输入文件的格式。DER是DER编码的CRL对象。PEM(默认的格式)是base64编码的CRL对象。-outform arg:指定文件的输出格式,跟-inform的意思一样。-text:以文本格式来打印CRL信息值。-in arg:指定的输入文件名。默认为标准输入。-out arg :指定的输出...
CMS签名研究(openssl
Joe's Blog
11-01 9472
CMS签名研究材料: 描述: 使用CMS对u-boot.imx文件进行签名,生成签名signature文件。
openssl创建签名证书
04-22
好的,我了解,您的问题是如何使用openssl创建签名证书。您可以按照以下步骤操作: 1. 生成私钥:运行以下命令生成一个私钥文件: openssl genrsa -out private_key.pem 4096 这将生成一个4096位的RSA私钥文件private_key.pem。 2. 生成证书请求:使用上一步生成的私钥文件生成证书请求文件: openssl req -new -key private_key.pem -out cert_request.csr 该命令会生成一个证书请求文件cert_request.csr,您需要填写一些关于您的组织和服务器的信息。 3. 生成自签名证书:运行以下命令生成自签名证书: openssl x509 -req -days 365 -in cert_request.csr -signkey private_key.pem -out my_cert.pem 该命令将使用私钥文件和证书请求文件生成一个有效期为365天的自签名证书my_cert.pem。 以上就是使用openssl创建签名证书的简要步骤,希望能对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sunny_cube

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值