TLS OpenSSL 证书验证

最新推荐文章于 2024-04-08 07:00:00 发布
最新推荐文章于 2024-04-08 07:00:00 发布
阅读量741 收藏
点赞数
分类专栏: OpenSSL&TLS 文章标签: openssl tls
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liting870907/article/details/116781659
版权
本文探讨了在TLS连接中,OpenSSL如何处理证书验证。当遇到不同场景,如缺少根证书、证书过期或签名错误时,OpenSSL会返回特定的验证错误代码。在某些情况下,OpenSSL不会通过Alert Message直接反馈失败,而需要应用层根据这些错误代码决定是否继续TLS流程。错误代码包括X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE, X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT等,并提到了可能接收到的Alert Message类型。" 86648408,5279151,Linux Kernel防火墙:iptables/netfilter详解,"['Linux防火墙', 'iptables配置', '网络安全', 'netfilter', 'Linux内核']
摘要由CSDN通过智能技术生成 
int verify_err = SSL_get_verify_result(client.ssl);

拿到非X509_V_OK结果后,需由客户端/服务端应用层来决定是否中止TLS流程,
在一些场景下,openSSL库并不会通过Alert Message来反馈证书验证失败的结果,具体如下:

  • 场景1:当服务端只发送合法的用户证书时,客户端设置根证书和二级证书:
r = SSL_CTX_load_verify_locations(k->ctx, "/data/user/0/cn.areful.openssl/files/TEST Root CA.pem", NULL); //根证书
r = SSL_CTX_load_verify_locations(k->ctx, "/data/user/0/cn.areful.openssl/files/TEST USER CA.pem", NULL); //二级证书

verify_err = X509_V_OK

  • 场景2:当服务端只发送合法的用户证书时,客户端仅设置根证书或者未设置根证书及二级证书:
    verify_err = X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE
  • 场景3:当服务端只发送合法的用户证书时,客户端仅设置二级证书:
    verify_err = X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT
  • 场景4:当服务端只发送过期的用户证书时,客户端仅设置根证书:
    verify_err = X509_V_ERR_CERT_HAS_EXPIRED
  • 场景5&#
最低0.47元/天 解锁文章
用户昵称2021
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tls中间件攻击漏洞验证工具及操作手册
04-16
tls中间件攻击漏洞验证工具及操作手册,包含命令工具等
curl 校验服务器证书代码
03-09
代码使用libcurl+openssl实现校验服务器证书的逻辑。 代码以12306网站根证书进行编写举例
OpenSSL创建HTTPS的证书认证
cw_hello1的专栏
12-18 3575
HTTPS证书的作用是用来证明服务器的身份。总不能我说是谁就是谁把。得有一个东西证明我是谁。从而HTTPS证书就出现了。 就和现实世界一样,需要一个东西证明你是谁,而我们的身份证就是证明我们是谁的工具。
TLS是什么,为什么TLS1.0不安全
最新发布
Coder加油站的专栏
04-08 2465
TLS,全名为 Transport Layer Security,即传输层安全协议。它是一种加密协议,用于在互联网上提供安全和数据完整性保证。TLS 的前身是 SSL(Secure Sockets Layer,安全套接字层协议),由 Netscape 公司在 1994 年开发。TLS 的主要作用是为两个应用程序提供一个安全的通信通道,使得它们可以在不被第三方读取或篡改的情况下交换信息。TLS 通常用于保护 Web 浏览器和服务器之间的通信,但也可以用于任何需要安全传输数据的场合。
openssl 证书验证
swj9099的博客
08-05 6052
本节中我们快速浏览一下证书验证的主干代码。读者可以采用上节中生成的VC工程进行验证。 下面列出关键部分代码,为方便阅读,仅保留与证书验证强相关的代码,去掉了诸如变量定义、错误处理、资源释放等非主要代码,并修改了排版格式。 // 初始入口为 apps\verify.c 中的 MAIN 函数 // 为利于代码阅读,下面尝试将相关代码放在一起(采用函数调用栈的形式,被调用函数的代码排版缩进...
OpenSSL自建CA和签发二级CA及颁发SSL证书
走马行酒醴,驱车布鱼肉
01-02 6925
自己签发CA证书再签发服务器证书的场景非常简单。把根CA证书导入到浏览器后,就可以信任由这个根CA直接签发的服务器证书。 但是实际上网站使用的证书肯定都不是由根CA直接签发的,比如 像百度这种,网站使用的证书就是由二级CA颁发的证书。 本文就来演示,自签CA,由自签CA签发二级CA,最后由二级CA签发网站证书 ---------------------------------------...
OpenSSL 一键生成证书
08-10
OpenSSL 是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现库,同时也包含了一系列加密、散列和伪随机数生成算法。它广泛应用于网络服务器、客户端应用程序,以及开发安全通信协议的软件中。在IT行业中,...
openssl 证书生产工具
08-01
**签名与证书验证** 证书的签名涉及到使用CA的私钥对证书内容进行加密。当客户端(浏览器)收到服务器的证书时,它会使用CA的公钥来解密签名,如果解密成功且内容未被篡改,就证明该证书是可信的。如果证书是由知名...
openssl证书文件
11-24
在压缩包文件"openssl证书文件"中,可能包含了服务器的公钥证书(如`server.crt`)、私钥文件(如`server.key`)、可能还有客户端需要的信任证书(如`trusted-ca.crt`)。确保这些文件的安全存储和正确使用,对于...
openssl生成的证书demo
05-14
在SSL/TLS协议中,证书用于验证网络服务器的身份,确保用户与正确的服务器进行通信,防止中间人攻击。证书通常由受信任的第三方机构(称为证书颁发机构,简称CA)签署,但在这个示例中,我们使用自签名的CA来模拟这...
openssl命令操作证书链实例
09-06
在IT行业中,安全通信是至关重要的,而OpenSSL是一个强大的安全工具套件,它提供了用于创建和管理公钥基础设施(PKI)的核心功能,包括证书的生成、签名、验证等。本文将深入探讨如何在Linux环境下使用OpenSSL命令来...
OpenSSL 中文手册 之五 OpenSSL 简介-常用指令
JoShua 的 水库
05-13 589
openssl简介-指令verify 用法: opensslverify【-CApathdirectory】【-CAfilefile】【-purposepurpose】【-untrustedfile】【-help】【-issuer_checks】【-verbose】【-】【certificates】 说明: 证书验证工具。[/b:258940505f] 选项 -CApathdirectory...
openssl详解
weixin_30270561的博客
02-20 1447
openssl详解 摘自:https://blog.csdn.net/liguangxianbin/article/details/79665100 目录 目录 第一章前言 第二章证书 第三章加密算法 第四章协议 第五章入门 第六章指令verify 第七章指令asn1parse 第八章指令CA(一) 第九章指令CA(二) 第十章指令ciphe...
Openssl CA证书生成以及双向认证,及windows系统证书批量导出,android cer转bks
HeroRazor的专栏
05-25 7431
Openssl CA证书生成以及双向认证首先本文主要参照这篇文章写的 http://h2appy.blog.51cto.com/609721/1181234只是途中有些问题折腾了一下,比如openssl.cnf如何来的,这个文件在编译完openssl后,应该openssl根目录下/apps/demoCA有个,可以把他拷贝到openssl.exe同一级目录 里面有些目录配置,自己可以修改下,但是我
SSL/TLS验证_01_基础知识
毛毛的专栏
05-10 3336
一、SSL/TLS介绍 什么是SSL,什么是TLS呢?官话说SSL是安全套接层(secure sockets layer),TLS是SSL的继任者,叫传输层安全(transport layer security)。说白点,就是在明文的上层和TCP层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP协议是明文传输,加上SSL层之后,就有了雅称HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。它的发展依次经历了下面几个时期,像手机软件升级一样,每次更新都添加或去除功能,比如引进新的加密算法,修
OpenSSL在苹果手机推送中的使用
水泽木兰
11-28 1765
opensslshiy流程: 1.初始化; SSLv23_client_method();创建SSL上下文环境 SSL_CTX_new () 2.创建socket,connect;校验证书; 3.socket绑定SSL:SSL_new,SSL_connect; 4.校验服务器证书; 5.SSL_write,SSL_read; 6.释放资源 SSL_shutdown等; vie
6.openssl解析证书常用命令
LiuWei
08-17 4546
1.查看证书 查看key信息:openssl rsa -noout -text -in myserver.key 查看csr信息:openssl req -noout -text -in myserver.csr 查看证书信息:openssl x509 -noout -text -in ca.crt 2.验证CA证书 openssl verify -CAfile ca.pem client.pem 输出:client.pem: OK 3.验证公钥和私钥是否匹配 diff -eq <(openssl
openssl验证
m0_46665077的博客
04-22 4649
openssl验证书到期时间 openssl验证书文件(crt/cer文件)与密钥文件(key文件)是否匹配
使用 OpenSSL API 进行安全编程,第 2 部分: 安全握手
05-12 529
  文档选项打印本页将此页作为电子邮件发送级别: 初级Kenneth Ballard (kenneth.ballard@ptk.org), 自由程序员2005 年 5 月 23 日安全套接字层(S
openssl 生成tls证书
08-04
生成 TLS 证书可以使用 openssl 工具。 以下是生成 TLS 证书的基本步骤: 1. 安装 openssl:如果你的系统中没有安装 openssl,请先安装它。 2. 创建证书签名请求 (CSR):使用以下命令创建 CSR: ``` openssl req ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值