证书吊销列表(CRL)简单介绍与相关openssl C api功能测试

已于 2023-05-13 22:07:37 修改
阅读量2.1k 收藏 10
点赞数
分类专栏: 学习笔记 文章标签: c语言 ssl https 网络协议 网络安全
于 2023-05-13 21:58:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TappaT/article/details/130662848
版权

文章目录

1 前言

在近期的工作项目中涉及到了证书吊销列表(CRL)相关的一些知识,打算记录一下自己写的一个通过CRL验证自签名证书有效性的测试程序,并分享遇到的一些坑。

下面几小节会介绍一些基础知识,熟悉的话可直接跳过。最后的代码方面,主要是一个生成证书和CRL的shell脚本,以及测试openssl C api的C程序。

源码已上传github,可点击该link跳转。

2 基础知识

讨论测试程序前先简单说明一下SSL、CA、CRL的概念。

SSL(Secure Sockets Layer)是一种安全协议,用于在因特网上的两个系统(比如,一个web浏览器和一个web服务器)之间建立一个加密的连接。这种连接可以确保在这两个系统之间传输的信息的保密性和完整性,防止被未经授权的第三方窃取或篡改。

在SSL连接的建立过程中,一个关键的步骤是数字证书的验证。数字证书是一种数字文件,它绑定了一个实体(例如,一个web服务器或者一个组织)和一个公钥。数字证书由一个受信任的第三方机构,称为证书颁发机构(CA)签发。当一个系统(例如,一个web浏览器)试图与另一个系统(例如,一个web服务器)建立SSL连接时,它会检查服务器的数字证书以确认服务器的身份。

这就是CRL(证书撤销列表)发挥作用的地方。CRL是由CA发布的,包含了所有被撤销的,即不再被信任的数字证书的列表。一个证书可能会被撤销,原因包括但不限于私钥被泄露,证书被误发,或者证书所有者不再需要该证书。

当一个系统在验证一个数字证书的有效性时,它会检查CRL以确保证书没有被撤销。如果证书在CRL中,那么该系统会拒绝与提供该证书的系统建立SSL连接,因为这可能意味着连接的安全性无法得到保证。

因此,SSL和CRL是密切相关的。通过CRL,SSL可以确保在建立的每一个安全连接中,都只使用仍然有效和可信的数字证书。

这里补充几个坑点:

  1. 证书的验证发生在SSL握手时,证书验证失败的原因可以有很多,其中,证书被吊销与证书过期是两个不同的概念,需要注意区分;
  2. 当提供了多个CRL时,需要注意CRL的issuer(颁发者)和last update time(颁发日期),若有多个颁发者相同的CRL,若颁发日期不同,则会只生效最新颁发的那个CRL,若颁发者与颁发日期全都一致,则会只生效CRL链中最靠前的那个CRL。

3 Openssl C api

这里挑几个重要的api函数说明一下。

X509_STORE_add_crl

原型声明:int X509_STORE_add_crl(X509_STORE *store, X509_CRL *x);

作用:将CRL加入到store中。

X509_STORE_set_flags

原型声明:void X509_STORE_set_flags(X509_STORE *store, unsigned long flags);

作用:设置模式,只有开启了CRL校验模式,才会在校验证书时对照CRL进行检查。

[注1] 本测试中使用的是X509_STORE_CTX_set_flags函数,X509_STORE存储的是证书和CRL等实体,而X509_STORE_CTX存储的是包括这些实体在内的上下文,本篇不会详细说明关于X509_STORE与X509_STORE_CTX的具体区别。

[注2] 关于这里的flag参数还有个坑点,若要开启CRL校验,涉及的参数有X509_V_FLAG_CRL_CHECKX509_V_FLAG_CRL_CHECK_ALL ,前者表示开启CRL校验但只校验"叶子节点证书",后者表示校验整个证书链,如果只传入后者,则CRL校验并不会生效。这是由于源码中在检查完X509_V_FLAG_CRL_CHECK标志后发现标志未设置就直接返回了,所以,若要校验整个证书链,传入的参数需要是X509_V_FLAG_CRL_CHECK | X509_V_FLAG_CRL_CHECK_ALL

X509_verify_cert

原型声明:int X509_verify_cert(X509_STORE_CTX *ctx);

作用:校验证书。

[注] 该函数只是用于本测试程序使用,实际客户端-服务端场景的SSL连接中,不需要专门调用该api进行CRL检查,当执行到ssl_do_handshake函数时,如果CRL已正确加载到store中且标志设置正确,ssl会自动对照CRL进行检查。

4 测试代码

测试前请先确保环境中已安装openssl与openssl-dev(CentOS装这个)或libssl-dev(Debian系装这个),本测试实验环境:

~# dpkg -l |grep libssl
ii  libssl-dev:amd64                     1.1.1f-1ubuntu2.18                amd64        Secure Sockets Layer toolkit - development files
ii  libssl1.1:amd64                      1.1.1f-1ubuntu2.18                amd64        Secure Sockets Layer toolkit - shared libraries
~# openssl version
OpenSSL 1.1.1f  31 Mar 2020
~# cat /proc/version
Linux version 5.4.0-47-generic (buildd@lcy01-amd64-014) (gcc version 9.3.0 (Ubuntu 9.3.0-10ubuntu2)) #51-Ubuntu SMP Fri Sep 4 19:50:52 UTC 2020

4.1 测试脚本

以下是证书与CRL文件的生成脚本。脚本运行完成后,在同级目录中可见到一个新生成的certsDir目录,里面会存放我们后续将使用到的文件。

#!/bin/bash

echo "<<<<<<<<<<< Start generating certificates and CRL ... >>>>>>>>>>>>>>>>"

outpath="certsDir"
configFile="openssl.cnf"
cert1="cert"
cert2="cert-revoked"

# Initialize
rm -rf ${outpath}
mkdir ${outpath}
cd ${outpath}

# Prepare configuratoin files
touch index.txt
echo 01 > serial
echo 1000 > crlnumber
chmod 600 index.txt serial crlnumber

cat <<EOF > ${configFile}
[ ca ]
default_ca      = CA_default            # The default ca section

[ CA_default ]
dir             = ./             # Where everything is kept
certs           = ./            # Where the issued certs are kept
crl_dir         = ./              # Where the issued crl are kept
database        = ./index.txt        # database index file.
new_certs_dir   = ./newcerts            # default place for new certs.
certificate     = ./ca-cert.pem         # The CA certificate
serial          = ./serial           # The current serial number
crlnumber       = ./crlnumber        # the current crl number
crl             = ./crl.pem          # The current CRL
private_key     = ./ca-key.pem # The private key
x509_extensions = cert                 # The extensions to add to the cert
name_opt        = ca_default            # Subject Name options
cert_opt        = ca_default            # Certificate field options

# crlnumber must also be commented out to leave a V1 CRL.
# crl_extensions = crl_ext

default_days    = 365                   # how long to certify for
default_crl_days= 30                    # how long before next CRL
default_md      = sha256                # use SHA-256 by default
preserve        = no                    # keep passed DN ordering

policy          = policy_match

# For the CA policy
[ policy_match ]
countryName             = optional
stateOrProvinceName     = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

####################################################################
[ req ]
default_bits            = 2048
default_md              = sha256
default_keyfile         = privkey.pem
distinguished_name      = req_distinguished_name
attributes              = req_attributes
x509_extensions = v3_ca # The extensions to add to the self signed cert

[ req_distinguished_name ]
countryName                     = Country Name (2 letter code)
countryName_default             = IN
stateOrProvinceName             = State or Province Name (full name)
stateOrProvinceName_default     = Karnataka
localityName                    = Locality Name (eg, city)
localityName_default            = Bengaluru
0.organizationName              = Organization Name (eg, company)
0.organizationName_default      = GoLinuxCloud
organizationalUnitName          = Organizational Unit Name (eg, section)
organizationalUnitName_default  = Admin

commonName                      = Common Name (eg, your name or your server\'s hostname)
commonName_max                  = 64

emailAddress                    = Email Address
emailAddress_max                = 64

[ req_attributes ]
challengePassword               = A challenge password
challengePassword_min           = 4
challengePassword_max           = 20
unstructuredName                = An optional company name

[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment

[ v3_ca ]
# Extensions for a typical CA
# PKIX recommendation.
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = critical,CA:true

[ crl_ext ]
# CRL extensions.
# Only issuerAltName and authorityKeyIdentifier make any sense in a CRL.
authorityKeyIdentifier=keyid:always
EOF

echo "<<<<<<<<<<<<<< Generating CA certificate... >>>>>>>>>>>>"
# Generate a self-signed CA certificate
openssl genrsa -out ca-key.pem 2048
openssl req -x509 -new -key ca-key.pem -out ca-cert.pem -days 365 -nodes -subj "/CN=My Root CA"

echo "<<<<<<<<<<<<<< Generating certificate... >>>>>>>>>>>>"
# Generate a certificate signing request (CSR) for a new certificate
openssl genrsa -out cert-key.pem 2048
openssl req -new -key cert-key.pem -out cert.csr -nodes -subj "/CN=example.com"

# Sign the certificate with the CA certificate to create the new certificate
openssl x509 -req -in cert.csr -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -days 365

echo "<<<<<<<<<<<<<< Generating revoked certificate... >>>>>>>>>>>>>>>>"
# Same way to create a new certificate which ready to be revoked
openssl genrsa -out ${cert2}-key.pem 2048
openssl req -new -key ${cert2}-key.pem -out ${cert2}.csr -nodes -subj "/CN=example.com"
openssl x509 -req -in ${cert2}.csr -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out ${cert2}.pem -days 365

echo "<<<<<<<<<<<<<< Generating CRL... >>>>>>>>>>>>>>>>"
# Generate a CRL (Certificate Revocation List) that revokes the new certificate
openssl ca --config ${configFile} -revoke ${cert2}.pem
openssl ca --config ${configFile} -gencrl -out crl.pem
openssl crl -in crl.pem -noout -text

echo "Finished."

4.2 测试程序

该程序将会读取之前脚本生成目录下的CA证书、CRL文件以及一个未被吊销证书与一个被吊销证书,之后,分别对两个证书对照CRL进行校验,并打印校验的结果。注意,这里只涉及到单个CRL的校验场景,对于多个CRL的场景,请注意考虑我在第2小节中添加的说明。

/**
 * Copyright(C) TappaT 2023. All rights reserved.
 * 
 * @author  TappaT
 * @date    4/22/2023
 * 
 */

#include <stdio.h>
#include <openssl/x509.h>
#include <openssl/x509_vfy.h>
#include <openssl/pem.h>

#define CA_FILE             "certsDir/ca-cert.pem"
#define CRL_FILE            "certsDir/crl.pem"
#define CERT_FILE           "certsDir/cert.pem"
#define REVOKED_CERT_FILE   "certsDir/cert-revoked.pem"

static int verify_cert(X509 *ca, X509 *cert, X509_CRL *crl, const char* filePath)
{
    X509_STORE *store;
    X509_STORE_CTX *ctx;
    int ret;

    /* Initialize the X509 store */
    store = X509_STORE_new();
    if (!store) {
        printf("Error: Unable to create X509 store\n");
        return -1;
    }

    /* Add the CA certificate to the X509 store */
    ret = X509_STORE_add_cert(store, ca);
    if (!ret) {
        printf("Error: Unable to add CA certificate to X509 store\n");
        return -1;
    }

    /* Add the CRL to the X509 store */
    ret = X509_STORE_add_crl(store, crl);
    if (!ret) {
        printf("Error: Unable to add CRL to X509 store\n");
        return -1;
    }

    /* Initialize the X509 store context */
    ctx = X509_STORE_CTX_new();
    if (!ctx) {
        printf("Error: Unable to create X509 store context\n");
        return -1;
    }

    /* Set the certificate to be verified in the X509 store context */
    ret = X509_STORE_CTX_init(ctx, store, cert, NULL);
    if (!ret) {
        printf("Error: Unable to set certificate to be verified in X509 store context\n");
        return -1;
    }

    /* Enable CRL checking in the X509 store context */
    X509_STORE_CTX_set_flags(ctx, X509_V_FLAG_CRL_CHECK | X509_V_FLAG_CRL_CHECK_ALL);

    /* Verify the certificate */
    ret = X509_verify_cert(ctx);

    if (ret == 1) {
        printf("Certificate %s verified\n", filePath);
    } else if (ret == 0) {
        printf("Certificate %s revoked\n", filePath);
    } else {
        printf("Certificate %s verification failed\n", filePath);
    }

    /* Cleanup */
    X509_STORE_CTX_free(ctx);
    X509_STORE_free(store);

    return 0;
}

int main()
{
    X509 *cert, *revoked_cert, *ca;
    X509_CRL *crl;
    FILE *ca_file;
    FILE *crl_file;
    FILE *cert_file;
    FILE *revoked_cert_file;

    /* Load the CA certificate into memory */
    ca_file = fopen(CA_FILE, "r");
    if (!ca_file) {
        printf("Error: Unable to open CA file\n");
        return -1;
    }

    ca = PEM_read_X509(ca_file, NULL, NULL, NULL);
    fclose(ca_file);

    /* Load the CRL into memory */
    crl_file = fopen(CRL_FILE, "r");
    if (!crl_file) {
        printf("Error: Unable to open CRL file\n");
        return -1;
    }

    crl = PEM_read_X509_CRL(crl_file, NULL, NULL, NULL);
    fclose(crl_file);

    /* Load the certificate to be verified into memory */
    cert_file = fopen(CERT_FILE, "r");
    if (!cert_file) {
        printf("Error: Unable to open certificate file\n");
        return -1;
    }

    cert = PEM_read_X509(cert_file, NULL, NULL, NULL);
    fclose(cert_file);

    if (verify_cert(ca, cert, crl, CERT_FILE) != 0) {
        printf("Failed to verify certificate.\n");
        return -1;
    }

    /* Load the revoked certificate into memory */
    revoked_cert_file = fopen(REVOKED_CERT_FILE, "r");
    if (!revoked_cert_file) {
        printf("Error: Unable to open certificate file\n");
        return -1;
    }

    revoked_cert = PEM_read_X509(revoked_cert_file, NULL, NULL, NULL);
    fclose(revoked_cert_file);

    if (verify_cert(ca, revoked_cert, crl, REVOKED_CERT_FILE) != 0) {
        printf("Failed to verify certificate.\n");
        return -1;
    }

    /* Cleanup */
    X509_CRL_free(crl);
    X509_free(ca);
    X509_free(cert);
    X509_free(revoked_cert);

    return 0;
}

[注] gcc编译时注意带上参数-lcrypto -lssl

这里再贴一下代码链接

TappaT
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
openssl 进行创建私有CA并自签,发证,吊销证书
刘东义的博客
01-26 3421
一,创建私有CA(我使用的是192.168.10.2的服务器)自签:    openssl的配置文件: cat  /etc/pki/tls/openssl.cnf dir             = /etc/pki/CA  真正的工作目录 certs           = $dir/certs   已经签发的CA证书 crl_dir         = $dir/crl      ...
openssl原理与操作.pdf
01-24
OpenSSL 可以构建 PKI 系统,包括 CA 证书的签发、撤销和证书吊销列表 (CRL) 的管理。 10. **安全编程接口 (API)**: OpenSSL 提供 C 语言编程接口,允许开发人员在应用程序中集成 SSL/TLS 功能,实现自定义的...
opensll 证书CRL生成
qq_44401850的博客
07-12 1347
openssl生成CRLCRL解析,且验证证书吊销列表
openssl 命令 生成与吊销证书示例 生成CA证书 客户端证书 服务器证书 用CA签名客户服务器的CSR证书
最新发布
chenhao0568的专栏
04-17 879
这些步骤将帮助你生成自签名证书吊销证书。确保你有适当的权限来执行这些操作,并且按照正确的顺序执行步骤。要吊销证书,首先需要创建一个 CRL 文件,然后将要吊销证书添加到 CRL 中。并指定-config cnf/openssl.cnf。就手工建一个空的demoCA/index.txt。新建一个并写入00 保存。
利用OpenSSL实现私有 CA 搭建和证书颁发
写Bug的小白的博客
08-13 892
如果需要实现一个申请文件申请多个证书的方法,需修改 “index.txt.attr” 文件,设置 unique_subject = yes。.pem # Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN…"开头, "-----END….csr # Certificate Signing Request,证书签名请求证书申请文件的标识 证书申请完成后,这个证书申请文件就没啥用了。.key # 私钥的标识 .pem也是私钥的标识,但是windows不是别pem结尾的文件。
linux进阶-一看就会的openssl的使用-申请、签署、吊销证书
Nanjing_bokebi的博客
11-09 1201
文章目录一看就会的openssl的使用-申请、签署、吊销证书实验准备安装openssl查询openssl包信息1.openssl命令的使用openssl中对称加密的使⽤2.使⽤openssl⽣成信息摘要,对⽐md5sum 命令⽣成的内容,应该⼀样才对3.使⽤openssl ⽣成密码4.使⽤openssl⽣成伪随机内容,以base64格式显⽰5.使⽤openssl ⽣成公私钥6.使⽤openssl ...
crlset-tools: 实时监控证书吊销列表的便捷工具
gitblog_00041的博客
03-17 368
crlset-tools: 实时监控证书吊销列表的便捷工具 项目简介 crlset-tools 是一个用于实时监控证书吊销列表CRL)的实用工具集。它可以帮助系统管理员、安全工程师和其他技术人员在管理认证授权系统时,更轻松地获取和分析 CRL 数据。 通过使用 crlset-tools,您可以: 监控一组证书颁发机构 (CA) 的吊销列表 收集 CRL 数据并将其存储为本地文件或数据库 检查给...
拆解一份证书撤销列表CRL
yhl4k的博客
03-31 543
CRL(作废)证书 可以制作单个作废证书,也可以制作作废证书链; 1、版本号 V2 Version 2、签名算法OID Signature Algorithm Identifier 3、签发者 Issuer(各项名字的集合) 4、作废证...
SSL证书吊销列表CRL)是什么?
SSL加密技术
07-28 2474
SSL证书吊销列表,顾名思义,证书吊销是一个将无效证书和不可信证书与有效可信证书区分开的过程。基本上,这是CA(或CRL颁发者)知道一种或多种数字证书由于某种原因或其他原因不再值得信赖的一种方法。当他们吊销证书(此过程有时称为PKI证书吊销)时,他们实际上会在证书的到期日期之前使该证书无效。 因此,如果CA需要为您的网站撤消证书,它会使Google Chrome浏览器向您的网站访问者显示一条警告消息: (图片来源于网络,如涉及侵权请告知,我们将会在第一时间删除) CA机构会在什么情况下会撤销SSL
openssl_ca:具有QT GUI的openssl_ca
02-05
`openssl_ca`帮助用户执行这些过程,包括创建自签名CA证书、签发用户证书、管理证书吊销列表CRL)等。 **4. Certificate Authority(CA)** CA是PKI系统中的可信第三方,负责签发和管理数字证书。CA会验证申请者...
MscX509Common:OpenSSL 的 Objective-C 包装器。 它提供了对常用 PKI 结构的轻松访问,例如 X509、X509_REQ、X509_CRL、RSA、PKCS12
06-22
这个库作为一个包装器,使得开发者可以更轻松地操作X509证书、X509请求、X509证书吊销列表CRL)、RSA密钥以及PKCS12格式的数据,这些都是加密和安全通信中的核心元素。 在深入探讨MscX509Common之前,我们需要...
证书CRL详解
05-01
详细介绍证书CRL的各扩展释义,有助于加深对证书的了解
证书吊销列表CRL解析工具(Java)
09-04
证书吊销列表CRL解析工具(Java)
openssl下载:openssl-0.9.8b.tar.gz
03-12
4. X509_STORE_CTX_new() 和 X509_load_cert_crl_file():用于处理X.509证书证书吊销列表CRL)。 5. EVP_DigestInit_ex(), EVP_DigestUpdate(), 和 EVP_DigestFinal_ex():这些函数用于执行各种哈希操作,如MD5...
openssl asyncclient
09-03
在IT领域,尤其是在网络安全和加密通信中,OpenSSL是一个至关重要的库,它提供了各种安全协议、加密算法和证书管理功能。...在实践中,还需要注意证书的信任链、证书有效期、证书吊销列表(CRL)检查等安全性问题。
CRL和OSCP、LDAP
lingdukafeibj的博客
04-27 2793
签名验签服务器规范明确写出签名验签服务器应支持与CA基础设施的连接功能,包括CRL连接配置、OSCP连接配置。看完后一头雾水,首先需要了解什么是CRL 1、证书吊销列表(Certificate Revocation List,简称:CRL) 是PKI系统系统中的一个结构化的数据文件,该文件包含了证书颁发机构(CA)已经吊销证书的序列号及其吊销日期。CRL文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间、以及采用的签名算法等。证书吊销列表最短的有效期为1个小时,一般为1天,甚至1个月不等,
openssl crl 使用方法
weixin_33929309的博客
01-09 566
用途:crl工具,用于处里PME或DER格式的CRL文件。-inform arg:输入文件的格式。DER是DER编码的CRL对象。PEM(默认的格式)是base64编码的CRL对象。-outform arg:指定文件的输出格式,跟-inform的意思一样。-text:以文本格式来打印CRL信息值。-in arg:指定的输入文件名。默认为标准输入。-out arg :指定的输出...
[教程]openssl证书生成、签发,CRL,密钥转换等命令最简教程(可直接跳到后文)
qq_29820307的博客
06-22 3270
生成证书 注意:此处指令请在openssl中运行,命令行操作请在openssl目录下Bin目录内运行命令行,并且请在每条指令前加上“openssl”。例如:openssl genrsa -aes256 -out “rootca.key” 2048 #生成密钥,2048是密钥长度(Bit),-aes256是生成aes256标准的密...
PKI简介和Ubuntu下openssl关于证书的部分操作(创建CA,申请证书,注销证书
qq_47767419的博客
05-08 2960
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、PKI(公钥基本结构)简介1、什么是PKI?2、PKI组成PKI的应用二、Ubuntu下openssl关于证书的部分操作1.实验说明(准备)2、构建简单的CA(创建CA根证书)客户端向CA请求证书ca将客户端的证书请求文件CSR认证为CST证书的使用ca对证书注销总结 前言 做本实验时学习引用了以下几篇文章 https://www.jianshu.com/p/5914b504f775 https://zhuanlan.z.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值