证书链验证(国密)

最新推荐文章于 2025-03-10 09:56:24 发布
最新推荐文章于 2025-03-10 09:56:24 发布
阅读量2.1k 收藏 36
点赞数 29
分类专栏: 商用密码应用安全性评估 文章标签: 密码学 笔记 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxyniu123/article/details/135905943
版权
本文详细描述了如何通过Snooper工具和ASN1解析来验证SM2证书链,涉及获取上级证书公钥、解析下级证书数据、提取签名值并使用指定方法进行验证,最终结果显示验证通过。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

证书链验证

材料:

工具:

Snooper;ASN1;notepad++

已知证书链签发过程中,为上级证书对下级证书进行签名,故通过验证上级证书对下级证书的签名,验证证书链是否完整;

前置条件:上级证书对下级证书签名原文对【基本证书域】,如不理解可参考教材(商用密码应用与安全性评估)

验证SM2签名需要数据:

  1. 签名原文;签名值;公钥(上级)
  2. 签名hash;签名值;公钥(上级)

步骤1:选取方法(1)进行验证,获取上级证书,也就是2级证书的公钥

数据:

04

efa4b6c12db09f355ab28d84869029f402eb256901b1c064a6e9cc101bf0240c169d61bd4b069e7d7aa78e3d440626724989d497864746c5b15c281c2f074b9f

其中04为标志位,不参与验签计算

长度为64个字节,符合SM2公钥长度

步骤2:使用工具ASN1解析下级证书数据,本次验证选取3级加密证书

根据教材可知,上级证书对下级证书的证书基本域进行签名,获取证书基本域数据

3082034da003020102021067328a0176dadd22f96a06049352d827300a06082a811ccf550183753064310b300906035504061302434e312d302b060355040a0c24e6b283e9809ae794b5e5ad90e8aea4e8af81e69c8de58aa1e69c89e99990e585ace58fb83126302406035504030c1de59bbde5af86534d32e69c8de58aa1e599a8e6a0b9e8af81e4b9a65633301e170d3232303332313037333033365a170d3233303332313037333033365a3081ae310b300906035504061302434e3112301006035504080c09e5b9bfe4b89ce79c813112301006035504070c09e6b7b1e59cb3e5b882312d302b060355040a0c24e6b283e9809ae794b5e5ad90e8aea4e8af81e69c8de58aa1e69c89e99990e585ace58fb8312d302b060355040b0c24e6b283e9809ae794b5e5ad90e8aea4e8af81e69c8de58aa1e69c89e99990e585ace58fb83119301706035504030c10736d32746573742e6f7673736c2e636e3059301306072a8648ce3d020106082a811ccf5501822d034200045ea83b4aeaa17c5176c5fc8318f93e74fa05242e6e31bbf7ac0c68ab07facfb87190ff1db62f393f57383596a873f37725dd041ae47db9e7fa00b8a4e60f1641a382019430820190300e0603551d0f0101ff040403020520301d0603551d250416301406082b0601050507030106082b0601050507030230090603551d1304023000301d0603551d0e04160414f9f40158b647925571835fc2dfcb1f194489b9fb301f0603551d230418301680148e8668b92cd8aecb2026f65fb63b5a5eea9b9966306506082b0601050507010104593057302206082b060105050730018616687474703a2f2f6f6373702e776f747275732e636f6d303106082b060105050730028625687474703a2f2f6169612e776f747275732e636f6d2f77732d736d322d73736c332e63657230360603551d1f042f302d302ba029a0278625687474703a2f2f63726c2e776f747275732e636f6d2f77732d736d322d73736c332e63726c301b0603551d11041430128210736d32746573742e6f7673736c2e636e30580603551d200451304f3008060667810c010202300906072a811c89982a0d303806092a811c89982a030103302b302906082b06010505070201161d687474703a2f2f7777772e776f747275732e636f6d2f706f6c6963792f

可知上述数据为签名原文

步骤3:获取签名值

使用note工具解析,拆分

已知SM2签名值通过标志为0220和022100拆分R和S

075eb4c4cc64db5fc8fe71bbefc21078834b77e05d241aadcd9e3d9ff8982bb0cdace214639818124b1482d610be75e4ed46a74cd89a45c5e92b2686ed7f85be

步骤4:使用工具Snooper验证

结果为00,表示通过。

证书链-证书校验
大力海棠的博客
02-03 8997
先来打开一个网站的证书链看看: 它的结构是,顶端根证书DigiCert,中间证书GeoTrust RSA CA 2018,和最下级的服务器证书*.csdn.net。为什么会有中间证书?原因上一篇日志说过,由于权威的CA机构数量不多,如果所有的服务器申请证书都将CSR证书请求文件发送到CA机构,那么CA机构的工作量就会非常大,因此CA机构采取授权二级机构的方式来管理证书申请,经授权的二级机构也...
国密数字证书验证-SM2、SM3、SM4
11-22
国密数字证书验证、SM2椭圆曲线公钥密码算法、SM2椭圆曲线公钥密码算法推荐曲线参数、SM3密码杂凑算法、SM4分组密码算法、国密数字证书验证方法、使用国密算法的数字证书的验证签名的详细例子
p7b证书链验证工具-结合SM2证书验证工具用于验证SM2 p7b证书链的真实性
12-11
p7b证书链验证工具-结合SM2证书验证工具用于验证SM2 p7b证书链的真实性 0.306版本:解决了Win10系统下程序与证书链不同盘会闪退的问题 程序属性:需要安装OpenssL64环境 0.309:可验证二进制p7b链、PEM格式p7b链、分体PEM-CERTIFICATE格式p7b链
https网站访问/检测 显示“证书链不完整”
最新发布
qq_36849161的博客
03-10 394
HTTPS 证书链不完整通常是由于服务器在配置 SSL/TLS 证书时,未能正确提供完整的证书链(Certificate Chain)所导致的。
KeyTool.GUI.1.6 证书密钥查看生成工具
09-01
验证证书链验证证书链
01-22
验证证书链 检查证书是不是在证书链内的证书下发的。
iOS 中对 HTTPS 证书链验证
weixin_33816821的博客
09-22 674
这篇文章是我一边学习证书验证一边记录的内容,稍微整理了下,共扯了三部分内容: HTTPS 简要原理; 数字证书的内容、生成及验证; iOS 上对证书链验证。 HTTPS 概要 HTTPS 是运行在 TLS/SSL 之上的 HTTP,与普通的 HTTP 相比,在数据传输的安全性上有很大的提升。要了解它安全性的巧妙之处,需要先简单地了解对称加密和非对称加密的区别: ...
RSA证书链验证
一个认真摸鱼的商用密码从业人员
03-20 2342
到这一步基本可以说明,证书链验证通过了,如果觉得不太能确认的话,可以通过对三级证书签名原文hash,验证是否同上述哈希值一致,一致则证明验证通过。因为上图中,可以看到证书使用的签名算法为SHA256,故数据后32字节为哈希值。使用工具解析三级证书,在签名值域中截取上级证书的签名值。使用SHA256算法对签名原文计算哈希,检查是否一致。获取上级证书公钥,使用工具解析二级证书。对比一致,证书链验证通过。
SM2国密证书合法性验证
weixin_34186128的博客
11-14 966
  通常我们遇到过的X509证书都是基于RSA-SHA1算法的,目前国家在大力推行国密算法,未来银行发行的IC卡也都是基于PBOC3.0支持国密算法的,因此我们来学习一下如何验证SM2国密证书的合法性。至于SM2与SM3的算法实现不在本文讨论范围之内,可以用openssl、BouncyCastle.Crypto.dll等第三方库来实现。   SM2国密证书与RSA证书一样,一般内容都是以BASE...
使用国密算法数字证书的验证签名
01-22
4. **证书链的构建**:在实际应用中,还需要检查`ca.pem`证书是否由可信的根证书颁发,这通常涉及到证书链的建立,从终端证书到根证书,每一步都需要验证签名。 这个过程展示了国密算法在数字证书签名验证中的应用...
android ssl证书验证
11-15
7. **处理证书链问题**:在某些情况下,服务器可能会返回一个包含多个证书的证书链。这时,你需要正确处理这些证书,确保所有证书都来自受信任的CA。 8. **异常处理**:在进行SSL证书验证时,可能会遇到各种异常,...
java 国密算法实现包含SM2 SM3 SM4和数字签名、数字证书的验证
05-05
java 国密算法实现,包含SM2 SM3 SM4和数字签名、数字证书的验证以及相应的说明文档
国密SM2证书签发工具
02-01
Gmssl 2.0 Windows编译可执行版本,可用来签发SM2测试证书,内有签发根证书说明。
sm2tool-国密算法验证工具.zip
03-22
验证SM2非对称加密算法的工具
国密SM2/RSA证书签发工具
11-16
国密SM2、RSA证书签发工具(CA),https://blog.csdn.net/zweib730/article/details/50972837#comments
java是否支持国密认证_JS版SM2国密算法的签名验证
weixin_36026440的博客
02-28 1372
前段时间因工作需要,了解到在Github上已经有人实现了用JavaScript来写签名和验签,支持RSA、ECC、DSA等算法,还能解析X.509证书,一时觉得JavaScript是无比强大。后面就研究了下JavaScript版的ECC算法签名验证,自己再扩展实现了SM2国密算法的签名验证。基于现有已实现的C#版SM2国密算法的签名验证,再结合原来JavaScript的ECC算法,使用JavaSc...
haproxy集成国密ssl功能[上]
一个致力于开源代码学习、分析和交流的博客
02-21 1715
本文详细介绍了如何在haproxy上实现国密ssl的功能,并且介绍了测试环境搭建和对应的测试方法。
一文详解 HTTPS 与 TLS证书链校验
赶路人儿
11-07 8357
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议,是一种通过计算机网络进行安全通信的传输协议。HTTPS利用SSL/TLS来加密数据包,经由HTTP进行通信。其设计的主要目的是,提供对网站服务器的身份认证、保护交换数据的隐私与完整性。SSL/TLS握手协商:用非对称加密的手段传递密钥,然后用密钥进行对称加密传递数据。
ssl证书链验证的其它方式
TCP/IP
04-01 7824
<!--v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}--> Normal 0 7.8 磅 0 2
openssl 签发国密证书
07-14
您好!要使用 OpenSSL 签发国密证书,需要进行一些额外的步骤。以下是一个简单的示例: 首先,确保您已经安装了支持国密算法的 OpenSSL 版本。您可以在 OpenSSL 的官方网站上下载最新版本的 OpenSSL。 然后,生成一对国密算法的私钥和公钥。这可以通过以下命令完成: ```shell openssl ecparam -genkey -name SM2 -out private.key openssl ec -in private.key -pubout -out public.key ``` 接下来,生成一个证书签发请求(CSR)文件,其中包含您的公钥和其他相关信息。可以使用以下命令生成 CSR 文件: ```shell openssl req -new -key private.key -out csr.csr ``` 然后,您需要将 CSR 文件发送给证书签发机构(CA)进行签发。请注意,不是所有的 CA 都支持国密证书的签发,因此您需要选择一个支持国密算法的 CA。 一旦您收到了签发的证书文件(通常是一个 PEM 格式的文件),您可以将其与私钥合并,形成一个包含完整证书链的文件。可以使用以下命令完成: ```shell openssl ec -in private.key -outform PEM -out private.pem cat public.key >> private.pem cat signed_cert.pem >> private.pem ``` 现在,您已经拥有了包含私钥和证书的 PEM 文件,可以在您的应用程序中使用它来进行加密和身份验证等操作。 请注意,以上只是一个简单的示例,实际操作可能会因具体情况而有所不同。在实际使用中,建议参考 OpenSSL 的官方文档或咨询相关专业人士以获取更详细的指导。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值