【Qt】x509证书操作之获取证书链并验证

最新推荐文章于 2024-09-05 08:55:49 发布
最新推荐文章于 2024-09-05 08:55:49 发布
阅读量2.7k 收藏 8
点赞数 1
分类专栏: Qt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a137748099/article/details/116760143
版权

前面介绍了加载证书及解析证书链,接下来介绍证书验证

证书验证

Qt提供证书验证的接口

static QList<QSslError> verify(QList<QSslCertificate> certificateChain, const QString &hostName = QString());
  • 传参证书链,证书链可以不用根证书,验的时候会到系统证书库中找
  • 域名验证可选

如果已经有了证书链,那就好办,直接验就可以了

那如果只知道用户证书,不知道上一级证书呢?当然是先取证书链,取到再验

 

证书作为公开的信息,通过相关途径可以找到关联的证书,方法如下

以百度证书为例,查看证书,找到扩展项授权信息访问

授权信息访问提供了上一级证书的下载地址,通过浏览器打开链接即可下载

接下来查看该证书是否也提供了上一级证书的下载地址

可以看到,并没有提供,那就无法直接获取到上一级证书,也就是根证书

对于使用Qt验证的接口其实不用根证书也能验,因为该根证书是预置在系统证书库中,是受信任的根

既然知道该证书在系统库中,那我们是不是可以取到呢

答案当然是肯定的

通过以下接口可以取到系统库中的证书

QSslSocket::systemCaCertificates();
//或
QSslSocket::defaultCaCertificates();

系统库中这么多证书,那要怎么知道是对应哪个跟证书呢

证书扩展项中有两个字段,其中使用者密钥标识符是作为证书自己的标识符,授权密钥标识符是上一级证书的标识符

意思就是根证书的使用者密钥标识符和签发的下一级证书的授权密钥标识符是相等的

我们就可以通过这个来找出根证书

Code

废话不多说,代码才是硬道理

#include "rddownloadcertchain.h"
#include "httpgetmanager.h"
#include <QSslCertificate>
#include <QSslCertificateExtension>
#include <QSslSocket>
#include <QFile>

RdDownloadCertChain::RdDownloadCertChain(QObject *parent):
    QObject(parent)
{
    m_pHttpGetManager = new HttpGetManager(this);
//    connect(m_pHttpGetManager, &HttpGetManager::sigGetFinish, this, &RdDownloadCertChain::onGetFinish);
}

RdDownloadCertChain::~RdDownloadCertChain()
{
    delete m_pHttpGetManager;
}

int RdDownloadCertChain::dowmloadChain(const QByteArray &certData, QList<QByteArray> &chain)
{
    QSslCertificate cert(certData);
    if(cert.isNull()) {
        cert.clear();
        cert = QSslCertificate(certData, QSsl::Der);
    }

    if(cert.isNull()) {
        return -1;
    }

    chain.append(cert.toPem());
    QString url = this->getDownloadUrl(cert);
    qDebug() << __FUNCTION__ << "song" << "url" << url;
    if(!url.isEmpty()) {
        m_pHttpGetManager->setUrl(url);
        QByteArray data = m_pHttpGetManager->httpGet();

        //递归下载
        if(dowmloadChain(data, chain) != 0) {
            return -1;
        }
    }
    else {
        QList<QSslCertificateExtension> exts = cert.extensions();
        QString authKeyID, subjectKeyID;
        foreach (auto ext, exts) {
            //获取使用者密钥标识符和颁发者密钥标识符
            if(ext.oid() == "2.5.29.35") {
                authKeyID = ext.value().toMap().value("keyid").toString();
            }
            else if(ext.oid() == "2.5.29.14") {
                subjectKeyID = ext.value().toString().replace(":", "").toLower();
            }
        }

        //使用者密钥标识符和颁发者密钥标识符一样则为根证书
        if(authKeyID != subjectKeyID) {
            QList<QSslCertificate> sysCerts = QSslSocket::systemCaCertificates();
            foreach (auto sysCert, sysCerts) {
                QString subKeyID = getSubjectKeyid(sysCert);
                if(subKeyID == authKeyID) {
                    chain.append(sysCert.toPem());
                    //找到直接结束,系统库可能会存在多个相同的证书
                    return 0;
                }
            }
        }
    }
    return 0;
}

QString RdDownloadCertChain::getDownloadUrl(const QSslCertificate &cert)
{
    QString url;
    QList<QSslCertificateExtension> exts = cert.extensions();
    foreach (auto ext, exts) {
        //通过扩展项授权信息访问获取上一级证书的下载地址
        if(ext.oid() == "1.3.6.1.5.5.7.1.1") {
            QMap<QString, QVariant> extMap = ext.value().toMap();
            QMap<QString, QVariant>::iterator iter = extMap.find("caIssuers");
            if(iter != extMap.end()) {
                url = iter.value().toString();
            }
        }
    }
    return url;
}

QString RdDownloadCertChain::getSubjectKeyid(const QSslCertificate &cert)
{
    QString subKeyID;
    QList<QSslCertificateExtension> sysExts = cert.extensions();
    foreach (auto ext, sysExts) {
        if(ext.oid() == "2.5.29.14") {
            subKeyID = ext.value().toString().replace(":", "").toLower();
        }
    }
    return subKeyID;
}

#include "mainwindow.h"
#include "ui_mainwindow.h"
#include "rddownloadcertchain.h"
#include <QFileDialog>
#include <QDebug>
#include <QSslError>
#include <QTreeWidget>
#include <QHeaderView>

MainWindow::MainWindow(QWidget *parent)
    : QMainWindow(parent)
    , ui(new Ui::MainWindow)
{
    ui->setupUi(this);

    m_pDownladManager = new RdDownloadCertChain(this);

    m_pTreeWidget = new QTreeWidget(this);
    m_pTreeWidget->setGeometry(130, 130, 400, 150);
    m_pTreeWidget->header()->setVisible(false);
}

MainWindow::~MainWindow()
{
    delete ui;
}

void MainWindow::createTreeItem(const QStringList &chainNameList)
{
    QTreeWidgetItem *rootItem = nullptr;
    for(int i = chainNameList.size() -1; i >=0; --i) {
        QString certName = chainNameList.at(i);
        if(!rootItem) {
            rootItem = new QTreeWidgetItem(m_pTreeWidget, QStringList(certName));
        }
        else {
            rootItem = new QTreeWidgetItem(rootItem, QStringList(certName));
        }
    }
    m_pTreeWidget->expandAll();
}


void MainWindow::on_pushButton_clicked()
{
    QString url = QFileDialog::getOpenFileName(this);
    ui->lineEdit->setText(url);
}

void MainWindow::on_pushButton_2_clicked()
{
    m_sslChains.clear();
    m_pTreeWidget->clear();
    QFile file(ui->lineEdit->text());
    if(!file.open(QIODevice::ReadOnly)) {
        return;
    }
    QByteArray data = file.readAll();
    file.close();

    QList<QByteArray> chains;
    m_pDownladManager->dowmloadChain(data,chains);

    QStringList chainNameList;
    foreach (auto certData, chains) {
        QSslCertificate certtificate(certData);
        m_sslChains.append(certtificate);
        qDebug() << __FUNCTION__ << "song" << certtificate.subjectDisplayName();
        chainNameList.append(certtificate.subjectDisplayName());
    }

    createTreeItem(chainNameList);
}

void MainWindow::on_pushButton_3_clicked()
{
     QList<QSslError> errs = QSslCertificate::verify(m_sslChains);
     if(errs.isEmpty()) {
         ui->textEdit->setText(u8"此证书已通过验证");
     }
     else {
         QString errText;
         foreach (auto err, errs) {
             if(!errText.isEmpty()) {
                 errText.append("\n");
             }
             qDebug() << __FUNCTION__ << "song" << "verify err:" << err.errorString();
             errText.append(err.errorString());
         }
         ui->textEdit->setText(errText);
     }
}

原理上面已经介绍了,代码量不多,以下是运行结果

Demo代码链接

https://download.csdn.net/download/a137748099/18718506

其他API

结合前两篇文章,QSslCertificate支持的接口基本都介绍完了

还剩下面的接口没介绍到

bool isBlacklisted() const;黑名单判别
bool isSelfSigned() const;自签证书判别,颁发者和使用者名称一样的证书为自签证书

 

芒果黑
关注
专栏目录
Qt开发教程】安全证书管理QSslCertificate类详解及实战应用
科技改变人类,技术成就未来
07-23 751
QSslCertificate 提供了一种简洁而强大的方式来管理和使用 X.509 证书。通过合理利用该类,可以确保应用程序的安全通信, 使得数据传输更加安全。结合其它安全模块,如 QSslSocket 和 QNetworkAccessManager,可以构建出高效、安全的网络应用程序。
C++ Qt 项目设计:跨平台网络防火墙工具的设计与实现
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
09-28 395
随着互联网的快速发展,网络安全问题日益凸显。企业和个人都面临着各种网络攻击和数据泄露的风险。因此,有必要开发一个高效、可靠的网络防火墙工具,以提供全面的网络安全保障。 本项目的主要目标是设计和实现一个跨平台的网络防火墙工具,用于监控网络流量、阻止非法访问,以及加密数据传输。该工具将使用C++进行开发,以确保高性能和低系统开销。
openssl证书的校验过程
知识需要积累。
02-06 8788
 X509_STORE_CTX这个结构主要是用来校验证书用,一般都会使用X509_STORE这个已经设置好的对象来初始化X509_STORE_CTX,初始化函数如下: int X509_STORE_CTX_init(X509_STORE_CTX *ctx, X509_STORE *store, X509 *x509,     STACK_OF(X509) *chain) 
X.509证书
weixin_34122548的博客
02-04 233
证书简介 X.509 标准规定了证书可以包含什么信息,并说明了记录信息的方法(数据格式)。除了签名外,所有 X.509 证书还包含以下数据: 版本 识别用于该证书的 X.509 标准的版本,这可以影响证书中所能指定的信息。迄今为止,已定义的版本有三个。 序列号 发放证书的实体有责任为证书指定序列号,以使其区别于该实体发放的其它证书。此信息用途很多。例如,如果某一证书被撤消,其序列号将放到...
Springboot中基于X509完成SSL检验的原理与实践
最新发布
splendid_java的专栏
09-05 1644
X.509是密码学里公钥证书的格式标准。X.509 证书己应用在包括TLS/SSL(WWW万维网安全浏览的基石)在内的众多 Internet协议里。同时它也用在很多非在线应用场景里,比如电子签名服务。X.509证书里含有公钥、身份信息(比如网络主机名,组织的名称或个体名称等)和签名信息(可以是证书签发机构CA的签名,也可以是自签名)。对于一份经由可信的证书签发机构签名或者可以通过其它方式验证证书证书的拥有者就可以用证书及相应的私钥来创建安全的通信,对文档进行数字签名。
ROS OpenSSL X509 证书构建及自定义验证
Lin__Mu的博客
03-22 2873
在WSL-Ubuntu20.04 基于 ROS、OpenSSL、C++实现X509证书构建、发送接收及验证。本实验重庆大学国家卓越工程师学院实验。本人经验尚浅,如本文有任何错误或改进之处欢迎各位留言!😉如果觉得不错的话,可以✨一下吗?
基于X.509证书和SSL协议的身份认证过程实现
weixin_34161029的博客
04-19 494
from http://rangercyh.blog.51cto.com/1444712/430652 上周帮一个童鞋做一个数字认证的实验,要求是编程实现一个基于X.509证书认证的过程,唉!可怜我那点薄弱的计算机网络安全的知识啊!只得恶补一下了。 首先来看看什么是X.509。所谓X.509其实是一种非常通用的证书,什么是证书?唉!这么说吧!当两个人需要进行远程通信而又...
X509证书认证原理
dandingwangzi的专栏
02-10 1779
X.509证书认证原理
qt联合java_QT笔记:QT客户端与JAVA服务器的HTTPS通信
weixin_39692830的博客
02-26 784
QT网络编程中,很多请求都是以HTTP,通过POST/GET方式来完成,简单高效。但是HTTP存在很严重的安全问题,HTTP数据是以明文方式传输,可以很容易被别人监听、抓取到。所以...HTTPS就应运而生了,它的存在就是为了解决HTTP方式传输的不安全问题。本篇文章总结了一个HTTPS加密传输的例子,很有参考意义,谨以此笔记记录下来。PS: 首先要说明的是,QT是默认使用OpenSSL的。如果...
Qt初学笔记-1
Mangkhut_的博客
10-12 643
Qt介绍 1、Qt介绍 Qt5采用了新的模块化库,使得平台移植更简单,Qt5将所有功能模块分成了3个部分:基本模块(Qt Essentials)、扩展模块(Qt Add-Ons)和开发工具(Qt Tools)。 Qt基本模块定义了适应于所有平台的基础功能,所有Qt应用程序都需要使用该模块中提供的功能,基本模块的基础是Qt Core模块,其它所有模块都依赖于该模块。Qt保证,在Qt的整个声明周期内,...
openssl密钥生成和证书管理
文山的专栏
05-06 1792
钥和证书管理 因为他们希望配置和运行一个web服务器,支持SSL,大多数用户转向使用实例。包含三部: (1)生产私有key (2)发送一个csr (3)安装CA提供的证书 key生成 准备运行一个TLS服务器的第一步是生成一个私钥。在您开始以前,你决定: key算法 OpenSSL支持RSA,DSA,ECDSA和EdDSA密钥算法,但并非全部在实践中很有用。 例如,DSA已过时,而EdDSA尚未得到广泛支持。这使我们可以使用RSA和ECDSA算法在我们的证书中使用。 key长度 默认密钥大小可能不安全,这
验证证书验证证书
01-22
验证证书 检查证书是不是在证书内的证书下发的。
CryptoAPI ukey获取证书以及签名流程
08-28
本文整理了如何使用CryptoAPI 操作ukey进行数字签名。附上流程和部分代码,讲解cryptoapi实际应用以及应用中关键问题的解决方法,在这里,仅介绍数字签名(加密流程类似,但是,操作略有不同,所需要的函数也不同),CryptoAPI是微软根据国际标准提供的一套接口。用于应用程序在对用户的敏感私钥数据提供保护时,以灵活的方式对数据进行加密或数字签名。
Java获取完整SSL证书信息(包含完整证书)
热门推荐
张三博客
09-16 2万+
Java通过X509获取完整证书信息包含受信任的和不受信任的证书,包含完整的证书使用者、签发者、签名算法公钥、证书版本、证书品牌等信息
Qtx509证书操作之解析证书信息
芒果黑的博客
05-13 3327
证书信息 函数 功能 QByteArray version() const 版本号 QByteArray serialNumber() const; 序列号 QString issuerDisplayName() const; 颁发者common name(CN) QString subjectDisplayName() const; 使用者common name(CN) Q
X509数字证书学习
mayue_web的博客
06-04 6345
X509证书概念、格式和应用
基于自签名的X.509数字证书生成及验证
kmyhy的专栏
05-13 1万+
数字证书用于标志网络用户身份,在Web应用中,数字证书的应用十分广泛,如:安全电子邮件、访问安全站点、安全电子事务处理和安全电子交易等。 数字证书的格式一般采用X.509国际标准。目前,数字证书认证中心主要签发安全电子邮件证书、个人和企业身份证书、服务器证书以及代码签名证书等几种类型证书。 数字证书证书机构签发,证书机构通常需经权威认证机构注册认证。在企业应用中,也常用企业自身作为发证机构(未经过认证)签发数字证书证书的使用范围也常是企业内部,这样的证书就是所谓的“自签名”的
Qtx509证书操作之加载证书
芒果黑的博客
05-11 2123
Qt提供QSslCertificate实现对x509证书的一些基本操作,如获取证书的信息、证书格式转化、证书验证等,搭配QSslSocket实现ssl通信,所以提供的功能不多 证书加载 QSslCertificate构造函数支持QIODevice的文件描述符和QByteArray证书内容的传参,证书格式为der或pem,格式需对应才能解析 explicit QSslCertificate(QIODevice *device, QSsl::EncodingFormat format = QSsl::P
x509证书验证
08-19 1095
X509_verify_cert函数负责用来验证证书的有效性,函数原型如下int X509_verify_cert(X509_STORE_CTX *ctx),验证成功返回1,失败返回其他值,失败的原因可以通过long nCode = X509_STORE_CTX_get_error(ctx);const char * pChError = X509_verify_cert_error_s...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值