x509证书验证

最新推荐文章于 2024-07-12 16:47:16 发布
最新推荐文章于 2024-07-12 16:47:16 发布
阅读量1k 收藏 5
点赞数 1
文章标签: 区块链
原文链接:http://www.cnblogs.com/Dennis-mi/articles/3267299.html
版权

X509_verify_cert函数负责用来验证证书的有效性,函数原型如下
int X509_verify_cert(X509_STORE_CTX *ctx),验证成功返回1,失败返回其他值,失败的原因可以通过
long nCode = X509_STORE_CTX_get_error(ctx);
const char * pChError = X509_verify_cert_error_string(nCode);得到
下面来演示一下如何使用这个函数
int VerifyCertificate()
{
  //声明X509_STORE用来存储证书链
  X509_STORE * certChain = NULL;
  //证书链上下文
  X509_STORE_CTX *ctx = NULL;
  //初始化证书链
  cerChain = X509_STORE_new();
  //通过这个函数将被信任的证书加入信任链,rootCert是指被信任的证书,
  for(int i = 0 ; i < nTrustCount ; i++)
  {
    X509 * rootCert = GetTrustCert();//这个函数openssl中没有,用来读取可以被信任的证书
    X509_STORE_add_cert(certChain,rootCert);
  }
  //为证书链上下文分配内存 
  ctx = X509_STORE_CTX_new();
  //初始化证书链上下文,certChain是证书链,cert是要被验证的证书
  X509_STORE_CTX_init(ctx,certChain,cert,NULL);
  //在证书验证之前,可以通过设置flags来确定验证的内容,flags的内容在x509_vfy.h中声明/* Certificate verify flags */之后就是
  X509_STORE_CTX_set_flags(ctx,flags);
  //验证证书,根据返回值可以确认X509证书是否有效,也可以根据X509_STORE_CTX_get_error和X509_verify_cert_error_string函数来确认无效原因 
  int nX509Verify = X509_verify_cert(ctx);
  if (1 != nX509Verify )
  {
   long nCode = X509_STORE_CTX_get_error(ctx);
   const char * pChError = X509_verify_cert_error_string(nCode);
  }
  //释放内存,这个很重要
  if(NULL != ctx)
  {
   X509_STORE_CTX_free(ctx);
  }
  if (NULL != certChain)
  {
   X509_STORE_free(certChain);
  }
  return nX509Verify;
}
注:在验证证书的过程中,证书链的构造一定要完整,例如root为自签名的证书,颁发证书给TopCA,TopCA颁发证书给SecondCA,SecondCA颁发证书给User
为了验证User的证书,root,TopCA,SecondCA都要在证书链中。
接下来我们看看X509_verify主要验证的内容
int X509_verify_cert(X509_STORE_CTX *ctx)
{
  //检查颁发者
    ctx->check_issued(ctx, x,x);
   //检查扩展部分
   ok = check_chain_extensions(ctx);
  /* Check name constraints ,检查名称约束*/
  ok = check_name_constraints(ctx);
  /* The chain extensions are OK: check trust,检查信任部分 */
  ok = check_trust(ctx);
  /* Check revocation status,检查撤销状态*/
  ok = ctx->check_revocation(ctx);
   /* At this point, we have a chain and need to verify it */
  ok=internal_verify(ctx);
   /* If we get this far evaluate policies */
  ok = ctx->check_policy(ctx);
}
在internal_verify有检查证书有效期的函数,即X509_cmp_time(const ASN1_TIME *ctm, time_t *cmp_time);
ASN1_TIME可以通过X509_get_notBefore()与X509_get_notAfter()两个函数来得到,time_t为从1970年1月1日凌晨算起的秒数,

转载于:https://www.cnblogs.com/Dennis-mi/articles/3267299.html

aizou2014
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux(openssl):X509_verify通过ca证书的public key验证证书的签名
风静如云的博客
11-29 780
提供了方法用于通过ca证书的public key验证证书的签名。将其中创建server.cer和ca.cer拷贝到本地。可以看到证书通过了ca的签名认证。
java生成X509证书jar包
04-14
X509证书是公钥基础设施(PKI)的一部分,用于验证服务器身份,确保数据传输的安全性。BouncyCastle库是一个强大的Java加密库,支持多种加密算法,包括国密算法,对于生成符合中国国家标准的X509证书非常有用。在这...
C语言实现X509证书解析
02-22
1.C语言实现完整的X509证书解析方案; 2.解析出证书的序列号、公钥;
openssl命令x509证书操作详解
N阶二进制的博客
11-03 5391
OpenSSL 是一个开源的加密和解密工具,它提供了一系列命令来操作证书和密钥。以下是一些常用的 OpenSSL 命令,用于操作证书的详细解释:生成自签名证书是指在没有经过任何第三方证书颁发机构(CA,Certificate Authority)的认证下,由个人或组织自行创建和签名的数字证书。自签名证书可以用于安全通信,但在实际应用中,它们通常用于测试、开发和内部使用,而不是在公共网络中使用,因为它们没有受到可信任 CA 的验证,可能会引发安全问题。在使用自签名证书时,虽然可以加密通信,但客户端在连接时通常
Openssl 对x509证书有效性进行验证
wangsifu2009的专栏
08-26 1万+
在进行身份认证时,首先要对发送给服务器进行认证的x509证书有效性进行验证,在Openssl中,可以用一个API接口可以实现:int X509_verify_cert(X509_STORE_CTX *ctx);     接口中形参是X509_STORE_CTX(X509证书库上下文)类型,在X509证书库上下文中,存在一个X509证书库和一个待验证的X509证书,可以加入信任的证书链,也可以加入
openssl X509_verify_cert
好习惯成就伟大
12-02 4380
#include <openssl/x509.h> int X509_verify_cert(X509_STORE_CTX *ctx); DESCRIPTION The X509_verify_cert() function attempts to discover and validate a certificate chain based on parameters inctx. A complete description of the process is containe...
OPENSSL X509证书验证
eyucham的专栏
02-13 3662
openssl实现了标准的x509v3数字证书,其源码在crypto/x509和crypto/x509v3中。其中x509目录实现了数字证书以及证书申请相关的各种函数,包括了X509和X509_REQ结构的设置、读取、打印和比较;数字证书验证、摘要;各种公钥的导入导出等功能。x509v3目录主要实现了数字证书扩展项相关的函数。 在进行身份认证时,首先要对发送给服务器进行认证的x509证书有效性...
X509数字证书
好习惯成就伟大
11-16 5202
主要函数 1) X509_STORE_add_cert 将证书添加到X509_STORE中。 1)X509_STORE_add_crl 将crl添加到X509_STORE中。 2)void X509_STORE_set_flags(X509_STORE *ctx, long flags) 将flags赋值给ctx里面的flags,表明了验证证书时需要验证哪些项。 4) X509_TRUST_set_default 设置默认的X509_T...
x509证书结构解析源码
09-30
在IT领域,尤其是在网络安全和Web服务中,X.509证书扮演着至关重要的角色。X.509是一种标准格式,用于表示公开密钥证书,它被广泛应用于HTTPS、SSL/TLS协议以及电子邮件安全等领域。中山大学提供的这个资源包含了...
webpki:Rust中的WebPKI X.509证书验证
02-05
WebPki是Rust编程语言中的一个库,专门用于实现Web Public Key Infrastructure (WebPKI) 的X.509证书验证。WebPKI是一种基于公钥基础设施(PKI)的标准,它确保了网络通信的安全性,特别是HTTPS协议中使用的TLS...
vc++生成x509证书
05-19
在IT行业中,X.509证书是一种标准格式的数字证书,主要用于验证网络通信中实体的身份,例如在HTTPS协议中确保网站的安全性。VC++(Visual C++)是微软提供的C++开发环境,用于创建Windows应用程序。在描述中提到的...
x509证书有效期校验过程_基于TLS1.2(GmSSL)
Baymini的博客
07-06 5336
服务端和客户端在进行TLS连接的过程中,需要判断当前时间是否在证书有效期内,若证书过期,程序如何处理?
基于C语言的X.509数字证书解析
毕业作品网站
07-22 3248
ASN.1 标准是一种描述二进制数据结构的数据格式标准。X.509 数字证书标准采用了 ASN.1 标准来描述 X.509 证书格式。X.509 标准采用了 DER 格式来编码 ASN.1 格式的数据。此外,RSA 的公钥也使用了 DER 规范。DER 格式的 ASN.1 标准除了 RFC 3641 进行了格式规范外,还可以在找到更加易读的 ASN.1 规范和 DER 格式明确定义。
java校验证书链
qq_32075117的博客
04-21 753
@param rootCA 用户信任的顶级根证书PEM文件文本内容,头尾不能少。* @param certInfo 证书链.P7B文件的文本内容。* @param subjectName 当前证书的使用者。
openssl 官方例子:验证证书
好习惯成就伟大
11-16 1356
static int check(X509_STORE *ctx, const char *file, STACK_OF(X509) *uchain, STACK_OF(X509) *tchain, STACK_OF(X509_CRL) *crls, int show_chain) { X509 *x = NULL; int i = 0, ret = 0; X509_STORE_CTX *csc; STAC.
openssl 证书验证源码分析
ughome的专栏
08-19 796
openssl 证书验证源码分析
OpenSSLX509证书操作函数
热门推荐
zqt520的专栏
05-25 1万+
现有的证书大都采用X。509规范,主要同以下信息组成:版本号、证书序列号、有效期、拥有者信息、颁发者信息、其他扩展信息、拥有者的公钥、CA对以上信息的签名。 OpenSSL实现了对X。509数字证书的所有操作。包括签发数字证书、解析和验证证书等。 涉及证书操作的主要函数有验证证书验证证书链、有效期、CRL)、解析证书(获得证书的版本、序列号、颁发者信息、主题信息、公钥、有效期等)。 主
交易平台Zero Hash现已支持SUI交易
最新发布
Sui_Network的博客
07-12 283
Zero Hash将SUI添加到其超过65种tokens的列表中,使其客户可以访问SUI。
android上如何实现x509证书验证
04-12
可以使用Java中的TrustManager和SSLContext类来实现x509证书验证。首先,需要创建一个X509TrustManager对象,并重写它的checkServerTrusted方法,该方法用于验证服务器端的证书链。然后,需要创建一个SSLContext...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值