【Qt】x509证书操作之获取证书链并验证

最新推荐文章于 2024-02-24 16:36:37 发布
最新推荐文章于 2024-02-24 16:36:37 发布
阅读量2.5k 收藏 8
点赞数 1
分类专栏: Qt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a137748099/article/details/116760143
版权

前面介绍了加载证书及解析证书链,接下来介绍证书验证

证书验证

Qt提供证书验证的接口

static QList<QSslError> verify(QList<QSslCertificate> certificateChain, const QString &hostName = QString());
  • 传参证书链,证书链可以不用根证书,验的时候会到系统证书库中找
  • 域名验证可选

如果已经有了证书链,那就好办,直接验就可以了

那如果只知道用户证书,不知道上一级证书呢?当然是先取证书链,取到再验

 

证书作为公开的信息,通过相关途径可以找到关联的证书,方法如下

以百度证书为例,查看证书,找到扩展项授权信息访问

授权信息访问提供了上一级证书的下载地址,通过浏览器打开链接即可下载

接下来查看该证书是否也提供了上一级证书的下载地址

可以看到,并没有提供,那就无法直接获取到上一级证书,也就是根证书

对于使用Qt验证的接口其实不用根证书也能验,因为该根证书是预置在系统证书库中,是受信任的根

既然知道该证书在系统库中,那我们是不是可以取到呢

答案当然是肯定的

通过以下接口可以取到系统库中的证书

QSslSocket::systemCaCertificates();
//或
QSslSocket::defaultCaCertificates();

系统库中这么多证书,那要怎么知道是对应哪个跟证书呢

证书扩展项中有两个字段,其中使用者密钥标识符是作为证书自己的标识符,授权密钥标识符是上一级证书的标识符

意思就是根证书的使用者密钥标识符和签发的下一级证书的授权密钥标识符是相等的

我们就可以通过这个来找出根证书

Code

废话不多说,代码才是硬道理

#include "rddownloadcertchain.h"
#include "httpgetmanager.h"
#include <QSslCertificate>
#include <QSslCertificateExtension>
#include <QSslSocket>
#include <QFile>

RdDownloadCertChain::RdDownloadCertChain(QObject *parent):
    QObject(parent)
{
    m_pHttpGetManager = new HttpGetManager(this);
//    connect(m_pHttpGetManager, &HttpGetManager::sigGetFinish, this, &RdDownloadCertChain::onGetFinish);
}

RdDownloadCertChain::~RdDownloadCertChain()
{
    delete m_pHttpGetManager;
}

int RdDownloadCertChain::dowmloadChain(const QByteArray &certData, QList<QByteArray> &chain)
{
    QSslCertificate cert(certData);
    if(cert.isNull()) {
        cert.clear();
        cert = QSslCertificate(certData, QSsl::Der);
    }

    if(cert.isNull()) {
        return -1;
    }

    chain.append(cert.toPem());
    QString url = this->getDownloadUrl(cert);
    qDebug() << __FUNCTION__ << "song" << "url" << url;
    if(!url.isEmpty()) {
        m_pHttpGetManager->setUrl(url);
        QByteArray data = m_pHttpGetManager->httpGet();

        //递归下载
        if(dowmloadChain(data, chain) != 0) {
            return -1;
        }
    }
    else {
        QList<QSslCertificateExtension> exts = cert.extensions();
        QString authKeyID, subjectKeyID;
        foreach (auto ext, exts) {
            //获取使用者密钥标识符和颁发者密钥标识符
            if(ext.oid() == "2.5.29.35") {
                authKeyID = ext.value().toMap().value("keyid").toString();
            }
            else if(ext.oid() == "2.5.29.14") {
                subjectKeyID = ext.value().toString().replace(":", "").toLower();
            }
        }

        //使用者密钥标识符和颁发者密钥标识符一样则为根证书
        if(authKeyID != subjectKeyID) {
            QList<QSslCertificate> sysCerts = QSslSocket::systemCaCertificates();
            foreach (auto sysCert, sysCerts) {
                QString subKeyID = getSubjectKeyid(sysCert);
                if(subKeyID == authKeyID) {
                    chain.append(sysCert.toPem());
                    //找到直接结束,系统库可能会存在多个相同的证书
                    return 0;
                }
            }
        }
    }
    return 0;
}

QString RdDownloadCertChain::getDownloadUrl(const QSslCertificate &cert)
{
    QString url;
    QList<QSslCertificateExtension> exts = cert.extensions();
    foreach (auto ext, exts) {
        //通过扩展项授权信息访问获取上一级证书的下载地址
        if(ext.oid() == "1.3.6.1.5.5.7.1.1") {
            QMap<QString, QVariant> extMap = ext.value().toMap();
            QMap<QString, QVariant>::iterator iter = extMap.find("caIssuers");
            if(iter != extMap.end()) {
                url = iter.value().toString();
            }
        }
    }
    return url;
}

QString RdDownloadCertChain::getSubjectKeyid(const QSslCertificate &cert)
{
    QString subKeyID;
    QList<QSslCertificateExtension> sysExts = cert.extensions();
    foreach (auto ext, sysExts) {
        if(ext.oid() == "2.5.29.14") {
            subKeyID = ext.value().toString().replace(":", "").toLower();
        }
    }
    return subKeyID;
}

#include "mainwindow.h"
#include "ui_mainwindow.h"
#include "rddownloadcertchain.h"
#include <QFileDialog>
#include <QDebug>
#include <QSslError>
#include <QTreeWidget>
#include <QHeaderView>

MainWindow::MainWindow(QWidget *parent)
    : QMainWindow(parent)
    , ui(new Ui::MainWindow)
{
    ui->setupUi(this);

    m_pDownladManager = new RdDownloadCertChain(this);

    m_pTreeWidget = new QTreeWidget(this);
    m_pTreeWidget->setGeometry(130, 130, 400, 150);
    m_pTreeWidget->header()->setVisible(false);
}

MainWindow::~MainWindow()
{
    delete ui;
}

void MainWindow::createTreeItem(const QStringList &chainNameList)
{
    QTreeWidgetItem *rootItem = nullptr;
    for(int i = chainNameList.size() -1; i >=0; --i) {
        QString certName = chainNameList.at(i);
        if(!rootItem) {
            rootItem = new QTreeWidgetItem(m_pTreeWidget, QStringList(certName));
        }
        else {
            rootItem = new QTreeWidgetItem(rootItem, QStringList(certName));
        }
    }
    m_pTreeWidget->expandAll();
}


void MainWindow::on_pushButton_clicked()
{
    QString url = QFileDialog::getOpenFileName(this);
    ui->lineEdit->setText(url);
}

void MainWindow::on_pushButton_2_clicked()
{
    m_sslChains.clear();
    m_pTreeWidget->clear();
    QFile file(ui->lineEdit->text());
    if(!file.open(QIODevice::ReadOnly)) {
        return;
    }
    QByteArray data = file.readAll();
    file.close();

    QList<QByteArray> chains;
    m_pDownladManager->dowmloadChain(data,chains);

    QStringList chainNameList;
    foreach (auto certData, chains) {
        QSslCertificate certtificate(certData);
        m_sslChains.append(certtificate);
        qDebug() << __FUNCTION__ << "song" << certtificate.subjectDisplayName();
        chainNameList.append(certtificate.subjectDisplayName());
    }

    createTreeItem(chainNameList);
}

void MainWindow::on_pushButton_3_clicked()
{
     QList<QSslError> errs = QSslCertificate::verify(m_sslChains);
     if(errs.isEmpty()) {
         ui->textEdit->setText(u8"此证书已通过验证");
     }
     else {
         QString errText;
         foreach (auto err, errs) {
             if(!errText.isEmpty()) {
                 errText.append("\n");
             }
             qDebug() << __FUNCTION__ << "song" << "verify err:" << err.errorString();
             errText.append(err.errorString());
         }
         ui->textEdit->setText(errText);
     }
}

原理上面已经介绍了,代码量不多,以下是运行结果

Demo代码链接

https://download.csdn.net/download/a137748099/18718506

其他API

结合前两篇文章,QSslCertificate支持的接口基本都介绍完了

还剩下面的接口没介绍到

bool isBlacklisted() const;黑名单判别
bool isSelfSigned() const;自签证书判别,颁发者和使用者名称一样的证书为自签证书

 

芒果黑
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CryptoAPI ukey获取证书以及签名流程
08-28
本文整理了如何使用CryptoAPI 操作ukey进行数字签名。附上流程和部分代码,讲解cryptoapi实际应用以及应用中关键问题的解决方法,在这里,仅介绍数字签名(加密流程类似,但是,操作略有不同,所需要的函数也不同),CryptoAPI是微软根据国际标准提供的一套接口。用于应用程序在对用户的敏感私钥数据提供保护时,以灵活的方式对数据进行加密或数字签名。
设备用私有CA签发的X.509证书接入IoT物联网平台——实践类
AIoT2688的博客
02-28 661
简介: X.509证书接入IoT物联网平台
TLS握手证书链的校验
最新发布
chinamen1的博客
02-24 882
看一遍忘一遍,还是自己写一遍,看看这次能记多久。在TLS握手过程中,通过证书校验认证服务端的身份和交换加密秘钥,握手完成之后后续就可以进行加密数据传输。在浏览器地址栏上点击锁的图标,能打开查看证书的详细信息。首先可以看到证书包含了多个层级,最下层的是我们直接访问的网站的服务证书,最上层是根证书。每个证书都属于一个机构组织。除了根证书是由根CA自己签发给自己的,其他证书都是由上一级组织用上一级的证书签发出来的,所以形成了层级结构。点开细节可以看到证书的更多信息,主要看证书包含什么信息?
IIS 7 下载 .cer 证书文件 下载问题
12-15 4380
在IIS8 中 设置 .cer 文件下载,需要设置站点的MIME 类型,添加了application/x-x509-ca-cert 类型,在II8中没有问题,可以下载。 但是当换做 II7.5 后虽然设置了MIME类型,但是文件就是下载不了,只是在浏览器中打开。 仔细看了下在IIS8 中成功下载时 respones header 中的 Content-Type 是设置的MIME类型 appli
Windows环境下OpenSSL下载安装及制作证书
一个甜甜的大橙子的博客
04-28 4638
下载与安装 点击下载地址,根据自己的系统版本,下载对应的OpenSSL。 下载完成后,对安装包进行安装,比较简单。 打开OpenSSL 直接到安装目录C:\Program Files\OpenSSL-Win64\bin,打开openssl.exe。 制作证书 # xxx.cer,xx.pem为该文件所在路径 x509 -inform DER -subject_hash_old -in xx...
基于GO语言实现的X.509证书
毕业作品网站
07-06 2104
在密码学中,X.509是公钥证书的格式标准,在许多互联网协议中得到应用。X.509对公钥证书的格式,撤销证书列表(CRLs),证书验证路径算法等进行了规定。一个X.509证书中包含了其版本号,证书序列号,签名算法,签发者,证书主体,有效期,公钥,公钥密钥等信息。证书中的信息使用 ASN.1进行编码,ASN.1中数据以tag,长度,值的方式进行编码。证书的基本结构在RFC 5280中4.1节进行了如下的规定: 二、读取 X.509证书 提交的程序中使用 Go 语言编写读取 X.509的程序,调用了 Go 语言
ROS OpenSSL X509 证书链构建及自定义验证
Lin__Mu的博客
03-22 2587
在WSL-Ubuntu20.04 基于 ROS、OpenSSL、C++实现X509证书链构建、发送接收及验证。本实验重庆大学国家卓越工程师学院实验。本人经验尚浅,如本文有任何错误或改进之处欢迎各位留言!😉如果觉得不错的话,可以✨一下吗?
X509证书认证原理
dandingwangzi的专栏
02-10 1475
X.509证书认证原理
使用Openssl验证证书
weixin_34008805的博客
06-23 321
使用Openssl验证证书链 项目中遇到使用Openssl验证证书链的问题,在网上找了很长时间,发现这方面的资料很少,通过多方努力,总算实现了基本功能,为了 给大家提供一下参考,本人实现了一个验证证书链的类,以供参考,由于本人也是刚刚接触Openssl,如果有不正确的地方,请大家多多指导 view plaincopy to clipboardprint?...
X.509 V3证书的签发与验证
11-21 3384
X509 V3基于BouncyCastle的生成方式,其中的一些小坑,以及利用openssl的证书验证方式。
数字证书X.509格式详解
BiigPanda的博客
01-10 6069
X.509是一种非常通用的证书格式。所有的证书都符合ITU-T X.509国际标准,因此(理论上)为一种应用创建的证书可以用于任何其他符合X.509标准的应用。X.509证书的结构是用ASN1(Abstract Syntax Notation One)进行描述数据结构,并使用ASN.1语法进行编码。
Qt5案例之利用QProcess获取计算机硬件信息
05-25
Qt5案例之利用QProcess获取计算机硬件信息,介绍利用QProcess获取计算机的CPU、主板、硬盘等电脑相关硬件信息。windows提供了“wmic”(Windows Management Instrumentation,Windows管理工具),提供了从命令行接口...
Qt6案例之利用QProcess获取计算机硬件信息
05-26
Qt6案例之利用QProcess获取计算机硬件信息,介绍利用QProcess获取计算机的CPU、主板、硬盘等电脑相关硬件信息。windows提供了“wmic”(Windows Management Instrumentation,Windows管理工具),提供了从命令行接口...
qt获取音频数据并同时播放
11-30
qt获取音频数据并同时播放
QtDownloadChain.7z
05-14
Qt下载证书链并验证的demo,详情请看博客介绍
QT获取网关地址(验证可用)
01-10
QT获取网关地址(验证可用)QT获取网关地址(验证可用)QT获取网关地址(验证可用)
java操作x509数字证书
热门推荐
都市桃源
10-04 1万+
openssl 自建ca,颁发客户端证书 前一篇介绍了非对称加密,数字证书,ca等概念之后,剩下的就是一些实战了java操作x509数字证书一般我们自建了ca系统之后,就要颁发给客户端使用,当然证书用途很多了,例如,加密解密,签名验签等这些最原理性的使用,应用场景就比较多了,例如电子签章,数据指纹,生物识别,电商,支付安全等等都使用到了数字证书,例如有些政府部门做的内部身份认证系统,与设备,生物识
鲲鹏arm64 centos7下官方二进制文件带证书https安装minio X509等问题解决实践
JanelSirry's Blog
07-20 1711
1.此次服务器是amr64架构,X86也适用2.官网下载文件找不到问题3.自定义更改账号密码4.自定义控制台端口5.自定义api端口6.需要ca证书https访问,遇到X509问题解决7.自定义存储位置hostinserveraddressshouldbethisserver解决。...
基于自签名的X.509数字证书生成及验证
kmyhy的专栏
05-13 1万+
数字证书用于标志网络用户身份,在Web应用中,数字证书的应用十分广泛,如:安全电子邮件、访问安全站点、安全电子事务处理和安全电子交易等。 数字证书的格式一般采用X.509国际标准。目前,数字证书认证中心主要签发安全电子邮件证书、个人和企业身份证书、服务器证书以及代码签名证书等几种类型证书。 数字证书证书机构签发,证书机构通常需经权威认证机构注册认证。在企业应用中,也常用企业自身作为发证机构(未经过认证)签发数字证书证书的使用范围也常是企业内部,这样的证书就是所谓的“自签名”的
qt 获取操作系统版本
05-17
获取操作系统版本,可以使用Qt的QSysInfo类。这个类提供了一些静态函数来获取一些系统信息,包括操作系统版本。 以下是获取操作系统版本的示例代码: ```cpp #include <QSysInfo> #include <QDebug> int main(int argc, char *argv[]) { Q_UNUSED(argc) Q_UNUSED(argv) qDebug() << "Operating System Name: " << QSysInfo::prettyProductName(); qDebug() << "Operating System Version: " << QSysInfo::productVersion(); return 0; } ``` 在上面的代码中,我们使用QSysInfo::prettyProductName()函数来获取操作系统名称,并使用QSysInfo::productVersion()函数来获取操作系统版本。输出结果将会类似于: ``` Operating System Name: "Ubuntu 20.04.2 LTS" Operating System Version: "20.04" ``` 请注意,这些函数只能提供Qt库所编译的操作系统版本信息,而不是实际的操作系统版本信息。因此,如果您的应用程序是在不同的操作系统上编译的,则输出结果可能会有所不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值