转载出处:http://blog.csdn.net/yyfzy/article/details/47952817
前面通过一系列文章,讲述了如使用OpenSSL解析证书的基本项,现在我们来看看如何获取证书的扩展项。
目前CA中心颁发的证书,都有一些扩展项属性,用来限定证书的用途、提供颁发者信息、以及CRL的下载地址等等。在下图中,红色区域内的属性都为证书的扩展属性。
在OpenSSL中,提供了函数X509_get_ext_d2i(),可以通过指定属性的NID来返回对应的结构体。该函数的定义如下:
- void * X509_get_ext_d2i(X509 *x, int nid, int *crit, int *idx);
第一个参数x,为证书结构体X509指针;
第二个参数nid,为要获取的扩展对象NID,“基本约束”的NID为NID_basic_constraints;
第三个参数crit,为返回参数,表明该扩展属性是否为关键扩展;
第四个参数idx,为可选返回参数,表明该扩展的序号,可以传NULL。
在OpenSSL中,“基本约束”扩展属性的结构体定义如下:
- typedef struct BASIC_CONSTRAINTS_st {
- int ca;
- ASN1_INTEGER *pathlen;
- } BASIC_CONSTRAINTS;
第一个成员ca,表明该证书可否作为CA证书签发下一级证书,一般用户证书该值都为0。
第二个参数pathlen,只有当ca=1时才有效,表明具体可以签发的证书级别。
使用OpenSSL获取“基本约束”扩展属性的完整函数代码如下:
- ULONG COpenSSLCertificate::_GetExtBasicConstraints(X509 *pX509Cert, LPSTR lpscProperty, ULONG* pulLen)
- {
- int crit = 0;
- char value[512] = {0};
- BASIC_CONSTRAINTS *bcons = NULL;
- if (!m_pX509)
- {
- return CERT_ERR_INVILIDCALL;
- }
- if (!pulLen)
- {
- return CERT_ERR_INVALIDPARAM;
- }
- bcons = (BASIC_CONSTRAINTS*)X509_get_ext_d2i(m_pX509, NID_basic_constraints, &crit, NULL);
- if (!bcons)
- {
- return CERT_ERR_ATTR_NOTEXIST;
- }
- if (!bcons->ca)
- {
- strcat_s(value, 512, "Subject Type=End Entity; ");
- strcat_s(value, 512, "Path Length Constraint=None");
- }
- else
- {
- char temp[128] = {0};
- sprintf_s(temp, 128, "Path Length Constraint=%d", bcons->pathlen);
- strcat_s(value, 512, "Subject Type=CA; ");
- strcat_s(value, 512, temp);
- }
- BASIC_CONSTRAINTS_free(bcons);
- if (!lpscProperty)
- {
- *pulLen = strlen(value) + 1;
- }
- if (*pulLen < (strlen(value) + 1))
- {
- return CERT_ERR_BUFFER_TOO_SMALL;
- }
- strcpy_s(lpscProperty, *pulLen, value);
- return CERT_ERR_OK;
- }