gmssl编程之签发X509证书

最新推荐文章于 2023-11-15 14:22:17 发布
最新推荐文章于 2023-11-15 14:22:17 发布
阅读量2.9k 收藏 18
点赞数 4
分类专栏: gmssl学习 文章标签: openssl 安全 信息安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lt4959/article/details/114671616
版权

gmssl编程之签发X509证书

前言

最近由于项目需求,需要通过代码组装并签发标准X509格式数字证书。故而查询资料对gmssl/openssl中签发证书流程就行了一番研究,终于完成。先记录如下.

命令行实现方式

命令行方式下使用gmssl/openssl指令进行证书签发主要有三步:生成密钥对(私钥)、生成证书请求、签发证书。
具体小伙伴们可参考小编这篇文章:Gmssl生成自签名证书

编程实现方式

同理,编程方式其实就是通过gmssl/openssl库相关接口完成命令行方式的三步。
当然签发用户证书首先需要有CA根证书,因为是测试,所这里小编是通过gmssl命令行方式生成了一对CA根证书(cacert.pem)及CA根私钥(cakey.pem).

step1. 产生密钥对

密钥对与算法有关,看小伙伴们实际需要,gmssl中都有相关的接口去完成该功能。例如:
RSA密钥对

	RSA	 *ret = NULL;
	BIGNUM *bn = NULL;
	unsigned long e = RSA_F4;
	int bits = 2048;
	bn = BN_new();
	ret = RSA_new();
	BN_set_word(bn, e)
	RSA_generate_key_ex(ret, bits, bn, NULL);
	//......

EC密钥对

	EC_KEY *ret = NULL;
	ret = EC_KEY_new_by_curve_name(NID_sm2p256v1);
	EC_KEY_generate_key(ret);
	//......

step2. 生成证书请求

有了密钥对后,接下来需要组装出证书请求,即X509_REQ结构数据。
在这里插入图片描述
生成证书请求主要流程如下:

  1. 创建X509_REQ对象
    通过X509_REQ_new方法实现。
  2. 设置版本号
    版本信息使用X509_REQ_set_version方法进行设置。
  3. 设置使用者信息
    使用者信息可使用X509_REQ_set_subject_name方法直接设置;
    或者通过X509_REQ_get_subject_name先取得X509_NAME,然后使用X509_NAME_add_entry_by_NID方法单独设置X509_NAME中的某一项。
  4. 设置公钥
    对于EC公钥,通过EVP_PKEY_assign_EC_KEY方法将step1中生成的公钥填入到x509_req中;
    对于RSA公钥,通过EVP_PKEY_assign_RSA方法将step1中生成的公钥填入到x509_req中。
  5. 设置扩展项信息(可选)
    扩展项信息可不填;
    若要填写,可通过sk_X509_EXTENSION_new_null、X509V3_EXT_conf、sk_X509_EXTENSION_push、X509_REQ_add_extensions等方法实现。
  6. 设置签名值
    签名值通过X509_REQ_sign方法,使用step1中生成的私钥对x509_req进行签名后自动填入。

step3. 签发X509

签发x509证书即通过step2中的证书请求组装出X509结构证书数据,并使用CA根证书对其进行签名。
在这里插入图片描述
组装并签发证书主要流程如下:

  1. 创建X509对象
    通过X509_new创建X509对象newcert;
  2. 设置版本号
    通过X509_set_version完成设置;
  3. 设置序列号
    通过X509_set_serialNumber方法实现;
  4. 从X509_REQ中导出使用者信息并设置到X509中
    通过X509_REQ_get_subject_name导出使用者信息;
    通过X509_set_subject_name方法设置到newcert中。
  5. 从CA根证书中导出使用者信息并设置到X509的颁发者项中
    通过X509_get_subject_name导出CA根证书中的使用者信息;
    通过X509_set_issuer_name方法设置到newcert的颁发者项中
  6. 从X509_REQ中导出公钥并设置到X509中
    通过X509_REQ_get_pubkey取得证书请求中的公钥;
    通过X509_REQ_verify方法对证书请求中签名值进行验证;(可选)
    通过X509_set_pubkey方法将公钥设置到newcert中;
  7. 设置证书有效期
    通过X509_gmtime_adj设置数值形式(以s为单位)的时间;
    或者通过X509_set1_notBefore及X509_set1_notAfter设置ASN1_TIME格式的时间;
  8. 设置证书扩展项信息(可选)
    扩展项信息根据实际需要来,可不设置。
  9. 设置签名值
    通过X509_sign方法及CA根私钥对newcert进行签名,并将签名值填入到newcert对象中。

完整代码


RSA *gen_RSA()
{
	RSA				*ret = NULL;
	RSA				*rsa = NULL;
	BIGNUM			*bn = NULL;
	unsigned long	e = RSA_F4;
	int				bits = 2048;
	
	if ((bn = BN_new()) == NULL)
	{
		printf("BN_new err\n");
		return NULL;
	}
	if ((ret = RSA_new()) == NULL)
	{
		printf("RSA_new err\n");
		goto END;
	}

	if (!BN_set_word(bn, e) || !RSA_generate_key_ex(ret, bits, bn, NULL))
	{
		printf("BN_set_word or RSA_generate_key_ex err\n");
		goto END;
	}

	ret = rsa;
	rsa = NULL;

END:
	if (bn)
	{
		BN_free(bn);
	}
	if (rsa)
	{
		RSA_free(rsa);
	}
	return ret;
}

EC_KEY *gen_EC_KEY()
{ 
	EC_KEY *ret = NULL;

	///* 获取实现的椭圆曲线个数 */
	//EC_builtin_curve *curves = NULL;
	//int crv_len = 0;
	//int nid = 0;
	//crv_len = EC_get_builtin_curves(NULL, 0);
	//curves = (EC_builtin_curve *)malloc(sizeof(EC_builtin_curve) * crv_len);
	///* 获取椭圆曲线列表 */
	//EC_get_builtin_curves(curves, crv_len);
	//for (int i = 0; i < crv_len; i++) {
	//	printf("***** %d *****\n", i);
	//	printf("nid = %d\n", curves[i].nid);
	//	printf("comment = %s\n", curves[i].comment);
	//}
	///*
	//nid=curves[0].nid;会有错误,原因是密钥太短
	//*/
	///* 选取一种椭圆曲线 */
	//nid = curves[25].nid;

	//根据椭圆曲线参数 创建密钥结构
	if (!(ret = EC_KEY_new_by_curve_name(NID_sm2p256v1))) {
		printf("EC_KEY_new_by_curve_name err!\n");
		return NULL;
	}

	/* 生成密钥 */
	if (!(EC_KEY_generate_key(ret)))
	{
		printf("EC_KEY_generate_key err.\n"); 
		EC_KEY_free(ret);
		return NULL;
	}

	return ret;
}

//
int Add_X509V3_extensions(X509 *cert, X509 * root, int nid, char *value)
{
	X509_EXTENSION *ex;
	X509V3_CTX ctx;
	/* This sets the 'context' of the extensions. */
	/* No configuration database */
	//  X509V3_set_ctx_nodb(&ctx);      
	/* Issuer and subject certs: both the target since it is self signed,
	* no request and no CRL
	*/
	X509V3_set_ctx(&ctx, root, cert, NULL, NULL, 0);
	ex = X509V3_EXT_conf_nid(NULL, &ctx, nid, value);
	if (!ex)
		return 0;

	X509_add_ext(cert, ex, -1);
	X509_EXTENSION_free(ex);
	return 1;
}

X509_REQ *generate_X509_REQ()
{
	X509_REQ *ret = NULL;

	BIO          *outbio = NULL;
	EC_KEY       *eckey = NULL;
	X509_REQ     *x509_req = NULL;
	X509_NAME    *x509_name = NULL;
	EVP_PKEY		*pKey = NULL;

	long         lVer = 0L;
	const char   *szCountry = "CA";
	const char	 *szProvince = "HUNAN";
	const char	 *szCity = "ChangSha";
	const char	 *szOrganization = "AHdms";
	const char	 *szOrganizationUnit = "KFB";
	const char	 *szCommon = "localhost";

	/* ---------------------------------------------------------- *
	* Create the Input/Output BIO's.                             *
	* ---------------------------------------------------------- */
	outbio = BIO_new(BIO_s_file());
	outbio = BIO_new_fp(stdout, BIO_NOCLOSE);

	// 1. generate EC key
	eckey = gen_EC_KEY();
	if (eckey == NULL)
	{
		BIO_printf(outbio, "Error generate EC_KEY\n");
		goto free_all;
	}
	
	// create x509_req object
	x509_req = X509_REQ_new();
	if (x509_req == NULL) {
		BIO_printf(outbio, "Error creating new X509_REQ object\n");
		goto free_all;
	}

	// 2. setup version number
	if (!X509_REQ_set_version(x509_req, lVer))
	{
		BIO_printf(outbio, "Error setting version to X509_REQ object\n");
		goto free_all;
	}

	char tmp_buf[512] = { '\0' };
	int tmpBufLen = sizeof(tmp_buf);
	//从CA证书中获取C,ST,O,OU

	// 3. set subject of x509 req
	x509_name = X509_REQ_get_subject_name(x509_req);
	//C
	if (!X509_NAME_add_entry_by_NID(x509_name, NID_countryName, MBSTRING_UTF8, (unsigned char *)szCountry, -1, -1, 0)) {
		BIO_printf(outbio, "Error adding entry [NID_countryName] to X509_REQ object\n");
		goto free_all;
	}
	//ST
	if (!X509_NAME_add_entry_by_NID(x509_name, NID_stateOrProvinceName, MBSTRING_UTF8, (unsigned char *)szProvince, -1, -1, 0)) {
		BIO_printf(outbio, "Error adding entry [NID_stateOrProvinceName] to X509_REQ object\n");
		goto free_all;
	}
	//L
	if (!X509_NAME_add_entry_by_NID(x509_name, NID_localityName, MBSTRING_UTF8, (unsigned char *)szCity, -1, -1, 0)) {
		BIO_printf(outbio, "Error adding entry [NID_localityName] to X509_REQ object\n");
		goto free_all;
	}
	//O
	if (!X509_NAME_add_entry_by_NID(x509_name, NID_organizationName, MBSTRING_UTF8, (unsigned char *)szOrganization, -1, -1, 0)) {
		BIO_printf(outbio, "Error adding entry [NID_organizationName] to X509_REQ object\n");
		goto free_all;
	}
	//OU   OU在openssl.conf中默认是可选的
	if (!X509_NAME_add_entry_by_NID(x509_name, NID_organizationalUnitName, MBSTRING_UTF8, (unsigned char *)szOrganizationUnit, -1, -1, 0)) {
		BIO_printf(outbio, "Error adding entry [NID_organizationalUnitName] to X509_REQ object\n");
		goto free_all;
	}
	//CN
	if (!X509_NAME_add_entry_by_NID(x509_name, NID_commonName, MBSTRING_UTF8, (unsigned char *)szCommon, -1, -1, 0)) {
		BIO_printf(outbio, "Error adding entry [NID_commonName] to X509_REQ object\n");
		goto free_all;
	}

	// 4. set public key of x509 req
	pKey = EVP_PKEY_new();
	if (!EVP_PKEY_assign_EC_KEY(pKey, eckey)) {
		BIO_printf(outbio, "Error EVP_PKEY_assign_EC_KEY operation\n");
		EC_KEY_free(eckey);
		goto free_all;
	}
	eckey = NULL;	// will be free eckey when EVP_PKEY_free(pKey)

	if (1 != (X509_REQ_set_pubkey(x509_req, pKey))){
		BIO_printf(outbio, "Error setting pubkey to X509_REQ object\n");
		goto free_all;
	}

	加入一组可选的扩展属性
	//STACK_OF(X509_EXTENSION) *extlist = sk_X509_EXTENSION_new_null();
	//X509_EXTENSION*ext = X509V3_EXT_conf(NULL, NULL, REQ_SUBJECT_ALT_NAME, value); //生成扩展对象
	//sk_X509_EXTENSION_push(extlist, ext);
	//X509_REQ_add_extensions(x509_req, extlist); // 加入扩展项目。

	// 5. set sign key of x509 req
	int len = X509_REQ_sign(x509_req, pKey, EVP_sm3());	// return x509_req->signature->length
	if (len <= 0){
		unsigned long ulErr = ERR_get_error(); // 获取错误号
		char szErrMsg[1024] = { 0 };
		char *pTmp = NULL;
		pTmp = ERR_error_string(ulErr, szErrMsg); // 格式:error:errId:库:函数:原因
		printf("%s\n", szErrMsg);
		BIO_printf(outbio, "Error sign X509_REQ\n");
		goto free_all;
	}

	ret = x509_req;
	x509_req = NULL;

free_all:
	BIO_free_all(outbio);
	if (pKey)
	{
		EVP_PKEY_free(pKey);
	}
	if (x509_req)
	{
		X509_REQ_free(x509_req);
	}

	return ret;
}


X509 *generate_X509()
{
	X509 *ret = NULL;

	BIO               *outbio = NULL;
	X509_REQ         *certreq = NULL;

	ASN1_INTEGER *aserial = NULL;
	EVP_PKEY *ca_privkey, *req_pubkey;
	X509 *cacert = NULL;
	X509 *newcert = NULL;
	X509_NAME                    *name;
	EVP_MD                       const *digest = NULL;
	FILE                         *fp;
	long                         valid_secs = 31536000;

	/* ---------------------------------------------------------- *
	* Create the Input/Output BIO's.                             *
	* ---------------------------------------------------------- */
	outbio = BIO_new(BIO_s_file());
	outbio = BIO_new_fp(stdout, BIO_NOCLOSE);

	/* ---------------------------------------------------------- *
	* These function calls initialize openssl for correct work.  *
	* ---------------------------------------------------------- */
	OpenSSL_add_all_algorithms();
	ERR_load_BIO_strings();
	ERR_load_crypto_strings();

	/* -------------------------------------------------------- *
	* Load the signing CA Certificate file                    *
	* ---------------------------------------------------------*/
	if (!(fp = fopen(CACERT, "r"))) {
		BIO_printf(outbio, "Error reading CA cert file\n");
		return NULL;
	}

	if (!(cacert = PEM_read_X509(fp, NULL, NULL, NULL))) {
		BIO_printf(outbio, "Error loading CA cert into memory\n");
		fclose(fp);
		return NULL;
	}

	fclose(fp);

	/* -------------------------------------------------------- *
	* Import CA private key file for signing                   *
	* ---------------------------------------------------------*/
	ca_privkey = EVP_PKEY_new();

	if (!(fp = fopen(CAKEY, "r"))) {
		BIO_printf(outbio, "Error reading CA private key file\n");
		goto END;
	}

	if (!(ca_privkey = PEM_read_PrivateKey(fp, NULL, NULL, NULL))) {
		BIO_printf(outbio, "Error importing key content from file\n");
		fclose(fp);
		goto END;
	}

	fclose(fp);

	/* -------------------------------------------------------- *
	* generate x509_req                                        *
	* ---------------------------------------------------------*/
	if (!(certreq = generate_X509_REQ()))
	{
		BIO_printf(outbio, "Error generate X509_REQ\n");
		goto END;
	}

	/* --------------------------------------------------------- *
	* Build Certificate with data from request                  *
	* ----------------------------------------------------------*/
	if (!(newcert = X509_new())) {
		BIO_printf(outbio, "Error creating new X509 object\n");
		goto END;
	}

	if (X509_set_version(newcert, 2) != 1) {
		BIO_printf(outbio, "Error setting certificate version\n");
		goto END;
	}

	/* --------------------------------------------------------- *
	* set the certificate serial number here                    *
	* If there is a problem, the value defaults to '0'          *
	* ----------------------------------------------------------*/
	aserial = ASN1_INTEGER_new();
	ASN1_INTEGER_set(aserial, 0);

	if (!X509_set_serialNumber(newcert, aserial)) {
		BIO_printf(outbio, "Error setting serial number of the certificate\n");
		goto END;
	}

	/* --------------------------------------------------------- *
	* Extract the subject name from the request                 *
	* ----------------------------------------------------------*/
	if (!(name = X509_REQ_get_subject_name(certreq)))
		BIO_printf(outbio, "Error getting subject from cert request\n");

	/* --------------------------------------------------------- *
	* Set the new certificate subject name                      *
	* ----------------------------------------------------------*/
	if (X509_set_subject_name(newcert, name) != 1) {
		BIO_printf(outbio, "Error setting subject name of certificate\n");
		goto END;
	}

	/* --------------------------------------------------------- *
	* Extract the subject name from the signing CA cert         *
	* ----------------------------------------------------------*/
	if (!(name = X509_get_subject_name(cacert))) {
		BIO_printf(outbio, "Error getting subject from CA certificate\n");
		goto END;
	}

	/* --------------------------------------------------------- *
	* Set the new certificate issuer name                       *
	* ----------------------------------------------------------*/
	if (X509_set_issuer_name(newcert, name) != 1) {
		BIO_printf(outbio, "Error setting issuer name of certificate\n");
		goto END;
	}

	/* --------------------------------------------------------- *
	* Extract the public key data from the request              *
	* ----------------------------------------------------------*/
	if (!(req_pubkey = X509_REQ_get_pubkey(certreq))) {
		BIO_printf(outbio, "Error unpacking public key from request\n");
		goto END;
	}

	/* --------------------------------------------------------- *
	* Optionally: Use the public key to verify the signature    *
	* ----------------------------------------------------------*/
	if (X509_REQ_verify(certreq, req_pubkey) != 1) {
		BIO_printf(outbio, "Error verifying signature on request\n");
		goto END;
	}

	/* --------------------------------------------------------- *
	* Set the new certificate public key                        *
	* ----------------------------------------------------------*/
	if (X509_set_pubkey(newcert, req_pubkey) != 1) {
		BIO_printf(outbio, "Error setting public key of certificate\n");
		goto END;
	}

	/* ---------------------------------------------------------- *
	* Set X509V3 start date (now) and expiration date (+365 days)*
	* -----------------------------------------------------------*/
	if (!(X509_gmtime_adj(X509_get_notBefore(newcert), 0))) {
		BIO_printf(outbio, "Error setting start time\n");
		goto END;
	}

	if (!(X509_gmtime_adj(X509_get_notAfter(newcert), valid_secs))) {
		BIO_printf(outbio, "Error setting expiration time\n");
		goto END;
	}

	/* ----------------------------------------------------------- *
	* Add X509V3 extensions                                       *
	* ------------------------------------------------------------*/
	//使用者密钥标识
	Add_X509V3_extensions(newcert, cacert, NID_subject_key_identifier, "hash");
	//颁发者密钥标识
	Add_X509V3_extensions(newcert, cacert, NID_authority_key_identifier, "keyid,issuer");
	//密钥用途
	Add_X509V3_extensions(newcert, cacert, NID_key_usage, "Digital Signature, Key Encipherment, Data Encipherment");
	//增强型密钥用途
	Add_X509V3_extensions(newcert, cacert, NID_ext_key_usage, "critical,clientAuth");

	/* ----------------------------------------------------------- *
	* Set digest type, sign new certificate with CA's private key *
	* ------------------------------------------------------------*/
	digest = EVP_sm3();

	if (!X509_sign(newcert, ca_privkey, digest)) {
		BIO_printf(outbio, "Error signing the new certificate\n");
		goto END;
	}

	/* ------------------------------------------------------------ *
	*  print the certificate                                       *
	* -------------------------------------------------------------*/
	if (!PEM_write_bio_X509(outbio, newcert)) {
		BIO_printf(outbio, "Error printing the signed certificate\n");
	}

	ret = newcert;
	newcert = NULL;

END:
	/* ---------------------------------------------------------- *
	* Free up all structures                                     *
	* ---------------------------------------------------------- */
	EVP_PKEY_free(ca_privkey);
	X509_REQ_free(certreq);
	ASN1_INTEGER_free(aserial);
	X509_free(newcert);

	BIO_free_all(outbio);

	return ret;
}

int _tmain(int argc, _TCHAR* argv[])
{
	X509 *cert = generate_X509();
	if (cert != NULL)
	{
		BIO *out = NULL;
		int ret = 0;

		out = BIO_new_file("./newcert.cer", "w");
		ret = PEM_write_bio_X509(out, cert);
		
		BIO_free_all(out);
	}
	
	getchar();
	return 0;
}

运行结果

在这里插入图片描述
OK, 打完收工
————————————————————————————————
我不休息我还能学 ⊂(‘ω’⊂ )))Σ≡=─༄༅༄༅༄༅༄༅༄༅

天对地,雨对风
关注
  • 4
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
国密gmssl安装,签名验签,证书生成撤销功能汇总
qq_30531921的博客
05-17 1664
gmssl命令行使用
X509数字证书之二:摘要和签名
上步七星
08-29 6676
摘要:发送方可以用X509数字证书对要发送文件的报文摘要进行签名,接收方再用X509数字证书验证发送方发出的文件是否被其他人篡改。 实际场景描述如下: Bob有一份重要的商务文件要送给Alice和Jack;Alice和Jack在收到Bob的商务文件后,需要确认此商务文件的真实性,即要验证文件来源自Bob,而且要验证文件内容没有被篡改过。双方对文件校验的流程简单描述如下: 1. Bob 生成X
openssl 生成X509 V3的根证书及签名证书
热门推荐
冰冻三尺非一日之寒
05-16 1万+
openssl 生成X509 V3的根证书及签名证书在测试的时候有时需要使用证书。因此使用OpenSSL创建自签名根证书,使用根证书签发证书显得很重要。1、生成根证书及自签名证书1.创建根证私钥    openssl genrsa -out root-key.key 10242.创建根证书请求文件    openssl req -new -out root-req.csr -key root-ke...
gmssl生成ca证书 ca证书签发用户证书
12-25
本工具包含windows版本编译好的gmssl.exe(Linux版本需自己编译,命令行是通用的),以及方便签发证书的bat文件,gmssl命令行详细解释。可以用来生成ca证书,并且用ca证书签发用户证书
gmssl编程之X509证书解析
lt4959的专栏
03-16 2179
gmssl编程之X509证书解析引言X509语法结构基本项证书版本号证书序列号证书颁发者证书使用者证书有效期证书公钥扩展项基本约束密钥用途增强型密钥用途颁发者标识使用者标识CRL分发点颁发机构信息访问自定义私有扩展项 引言 最近空出了些时间整理了下以前的项目代码,看到了之前通过研究gmssl源码实现的一整套X509证书解析的代码,故记之以文。 (PS. 可能实现主要是为了满足项目需求,若有不对之处,还请指针ヾ( ̄▽ ̄)) 下面小编列举了下X509证书结构的证书基本项(Basic Certificate Fi
X509格式的证书校验(基于GMSSL2019-06-15版本)
weixin_30426065的博客
08-19 398
实现X509格式证书的链式校验 // cert_public.cpp : Defines the exported functions for the DLL application. // #include "stdafx.h" #include <string.h> #include <stdio.h> #include <strin...
x509证书有效期校验过程_基于TLS1.2(GmSSL)
Baymini的博客
07-06 5324
服务端和客户端在进行TLS连接的过程中,需要判断当前时间是否在证书有效期内,若证书过期,程序如何处理?
GmSSL源码与签发SM2证书
01-08
3. **签发证书**:通常由权威的证书颁发机构(CA)完成,或者在内部环境中,你可以使用GmSSL工具自签发证书签发时,CA会使用自己的私钥对CSR进行签名。 4. **验证证书**:收到证书后,客户端会使用CA的公钥验证...
GMSSL2.5.4编译生成证书-带说明
11-13
- 使用GMSSL的CA工具签发证书: ``` gencert -out cert.pem -CA cacert.pem -CAkey cakey.pem -in csr.pem ``` 5. **应用国密证书**: - 在服务器端,将生成的`cert.pem`作为服务器证书,`private.key`作为...
WCF+X509证书加密小实例
09-16
3. **获取和安装证书**:X509证书可以自签发或由受信任的证书颁发机构(CA)签发证书需要安装在服务器和客户端的信任存储中,以便它们可以识别和接受彼此的证书。 4. **数据保护**:WCF允许配置不同级别的安全...
webpki:Rust中的WebPKI X.509证书验证
02-05
WebPki是Rust编程语言中的一个库,专门用于实现Web Public Key Infrastructure (WebPKI) 的X.509证书验证。WebPKI是一种基于公钥基础设施(PKI)的标准,它确保了网络通信的安全性,特别是HTTPS协议中使用的TLS...
java openssl 开发,使用OpenSSL以编程方式创建X509证书
weixin_42117622的博客
03-13 772
我意识到这是一个非常晚(和很长)的答案 . 但考虑到这个问题在搜索引擎结果中的排名有多好,我认为可能值得写一个体面的答案 .您将在下面阅读的很多内容都来自this demo和OpenSSL文档 . 以下代码适用于C和C.在我们实际创建证书之前,我们需要创建一个私钥 . OpenSSL提供 EVP_PKEY 结构,用于在内存中存储与算法无关的私钥 . 此结构在 openssl/evp.h 中声明,...
Openssl学习——x509证书函数
qq_41812260的博客
07-23 4196
文章目录1.X509概览1.1简介1.2结构 1.X509概览 1.1简介 X.509标准是密码学里公钥证书的格式标准。X.509 证书己应用在包括TLS/SSL(WWW万维网安全浏览的基石)在内的众多 Internet协议里,同时它也有很多非在线的应用场景,比如电子签名服务。X.509证书含有公钥和标识(主机名、组织或个人),并由证书颁发机构(CA)签名(或自签名)。一份X.509证书是一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥的信息一种非常通用的证书格式,所有的证书都符合X.509 国际
openssl 数字证书_使用OpenSSL库签署数字证书
danpu0978的博客
05-17 445
openssl 数字证书 在使用pgopenssltypes扩展时,我意识到我还没有讨论如何使用OpenSSL库对数字证书进行签名。 (至少我不记得这样做了–我可能在博客的早期就对此进行了讨论。我敢肯定,我已经讨论过使用BouncyCastle(java)库对数字证书进行签名。) 我的pgopenssltypes扩展将具有签名数字证书以进行测试的能力,但实际工作将在可能的pgca扩展中完成...
GMSSL hex公钥转EC 转EVP公钥 SM2
caojie300的专栏
07-08 1318
GMSSL中,关于HEX公钥 转EC公钥,转EVP公钥
OpenSSL中文手册之X509库详解(未完待续)
liao20081228的博客
08-19 9680
OpenSSL之X509系列之1—引言和X509概述 【引言】 X509是系列的函数在我们开发与PKI相关的应用的时候我们都会用到,但是OpenSSL中对X509的描述并不是很多,鉴于些,我将以前工作与学习过程的经验整理出来,供大家参考,不用多走弯路,可以将精力集中在自己要处理的业务逻辑上,同时也希望更多的人参与到研究与整理信息安全的理论与技术中来,提高中国的科研与应用技术水平。提高中国
用Openssl API制作证书
Sagely's blog
04-28 3834
    Openssl中形成X509证书的函数集中在genrsa.c,req.c,ca.c,x509.c等中,但是这些文件中的函数过于复杂,不太容易理解。下载了中国信息安全组织webmaster的CISOCA后受益非浅,思路清晰,真是非常感谢zrh。一:准备工作    确保在windows2000系统安装了openssl,vc6.0。将libeay32.dll和SSLeay32.dll复制到sys
Openssl X509 v3 AuthorityKeyIdentifier实验与逻辑分析
11-15 939
Openssl是X509的事实标准,目前主流OS或个别安全性要求较高的设计场景,对X509的证书链验证已经不在停留在只从数字签名校验了,也就是仅仅从公钥验签的角度,在这些场景中,往往还会校验AuthorityKeyIdentifier和SubjectKeyIdentifier的一致性,也即下级证书的AuthorityKeyIdentifier应该与上级证书的SubjectKeyIdentifier一致,这两个参数是X509 v3 extensions的范围。以上各种情况,均可以通过以下命令验证通过。
EVP系列函数
AG blog
07-24 2707
EVP系列函数 摘要函数 典型的摘要函数主要有: 1) EVP_md5 返回 md5 的 EVP_MD。 2) EVP_sha1 返回 sha1 的 EVP_MD。 3) EVP_sha256 返回 sha256 的 EVP_MD。 4) EVP_DigestInit 摘要初使化函数,需要有 EVP_MD 作为输入参数。 5) EVP_DigestUpdate 和 EVP_DigestInit_ex 摘要 Update 函数,用于进行多次摘要。 6) EVP_DigestFinal 和 EVP_Diges
gmssl如何签发证书
最新发布
01-23
GMSSLGmSSL)是由中国密码技术开发标准化工作组(TC260)指导的密码技术开发项目,是国密算法的开源实现。签发证书通常包括以下步骤。 首先,需要创建一个证书签发机构(CA)的私钥和公钥对。私钥用于对证书进行签名,公钥用于验证签名。对CA私钥的保护非常重要,通常会采取物理隔离或硬件安全模块(HSM)来保护。 其次,CA需要制定证书申请者身份验证的规则和流程,并通过这些规则对证书申请者的身份进行验证。 接着,一个证书请求(CSR)必须由证书申请者创建并提交给CA。CSR包含了证书申请者的公钥和个人信息。CA将使用自己的私钥对CSR进行签名,生成证书。 最后,CA将签发证书发送给证书申请者。证书中包含了证书申请者的公钥和公钥的持有者信息,并且由CA的数字签名进行了保护。 在GMSSL中,签发证书的步骤类似于标准的证书签发过程。GMSSL支持国密算法和国家密码标准,并提供了相应的工具和接口来管理证书和CA。用户可以通过GMSSL的命令行工具或API来进行证书签发和管理操作。同时,GMSSL也提供了相应的文档和示例来指导用户如何签发证书和搭建自己的CA系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值