数字证书X.509的OpenSSL代码实现Demo

于 2024-08-12 11:21:55 发布
阅读量428 收藏 4
点赞数 13
分类专栏: 信息安全 文章标签: 信息安全 密码技术 数字证书 OpenSSL c++ Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mickey2007/article/details/141125986
版权

目录

1 数字证书简介

1.1 什么是数字证书

1.2 为什么需要数字证书

1.3 数字证书的格式

2 OpenSSL代码实现

2.1 生成X.509证书

2.2 解析X.509证书

2.2.1 X.509中提取公钥

2.2.2 X.509中提取指纹

3 演示Demo

3.1 开发环境

3.2 功能介绍

3.3 下载地址

1 数字证书简介

1.1 什么是数字证书

        要开车得先考驾照,驾照上面记有本人的照片、姓名、出生日期等个人信息,以及有效期、准驾车辆的类型等信息,并由公安局在上面盖章。我们只要看到驾照,就可以知道公安局认定此人具有驾驶车辆的资格。

        公钥证书(Public-Key Certificate,PKC)其实和驾照很相似,里面记有姓名、组织、邮箱地址等个人信息,以及属于此人的公钥,并由认证机构(Certification Authority、Certifying Authority,CA)施加数字签名。只要看到公钥证书,我们就可以知道认证机构认定该公钥的确属于此人。公钥证书也简称为证书(certificate)。

1.2 为什么需要数字证书

        用数字签名既可以识别出篡改和伪装,还可以防止否认。也就是说,我们同时实现了确认消息的完整性、进行认证以及否认防止。现代社会中的计算机通信从这一技术中获益匪浅。

        然而,要正确使用数字签名,有一个大前提,那就是用于验证签名的公钥必须属于真正的发送者。即便数字签名算法再强大,如果你得到的公钥是伪造的,那么数字签名也会完全失效。

        现在我们发现自己陷入了一个死循环一一数字签名是用来识别消息篡改、伪装以及否认的,但是为此我们又必须从没有被伪装的发送者得到没有被篡改的公钥才行。

        为了能够确认自己得到的公钥是否合法,我们需要使用证书。所谓证书,就是将公钥当作一条消息,由一个可信的第三方对其签名后所得到的公钥。

1.3 数字证书的格式

        目前使用的数字证书格式遵循X.509标准;X.509定义了公钥证书结构的基本标准;X.509证书格式当前的版本是X.509v3。

2 OpenSSL代码实现

2.1 生成X.509证书

/***************************************************
        功        能:生成X.509证书
        参        数:pemFileName - [out] 生成证书文件路径(*.cer)
                        pubKey      - [in]  申请证书单位的公钥(PKCS#8-PEM编码)
                        pubLen                - [in]  申请证书单位的公钥长度
                        priKey      - [in]  签名证书机构的私钥(PKCS#8-PEM编码)
                        priLen                - [in]  签名证书机构的私钥长度
                        cerId                - [in] 证书id
                        validFrom   - [in] 证书有效期开始时间(注意:是格林威治标准时间,与我们东八区差8个小时)
                                                           年月日时分秒Z 如20240714151314Z
                        validTo     - [in] 证书有效期截止时间: 年月日时分秒Z 如20250714151314Z
                        issuerCN    - [in] 颁发者 CN(Common Name)通用名称  如:MIAXIS MOSIP CA
                        issuerOU    - [in] 颁发者 OU(Organizational Unit name)机构单元名称 如:www.miaxis.com
                        issuerO     - [in] 颁发者 O(Organization name)机构名 如:MIAXIS
                        issuerL     - [in] 颁发者 L(Locality)地理位置 如:ZHANGZHOU 
                        issuerST    - [in] 颁发者 S(State or province name)州/省名 如:ZHEJIANG
                        issuerC     - [in] 颁发者 C(Country)国名 如:CN
                        subjectCN   - [in] 主题者 CN(Common Name)通用名称  如:MIAXIS MOSIP CA
                        subjectOU   - [in] 主题者 OU(Organizational Unit name)机构单元名称 如:www.miaxis.com
                        subjectO    - [in] 主题者 O(Organization name)机构名 如:MIAXIS
                        subjectL    - [in] 主题者 L(Locality)地理位置 如:ZHANGZHOU 
                        subjectST   - [in] 主题者 S(State or province name)州/省名 如:ZHEJIANG
                        subjectC    - [in] 主题者 C(Country)国名 如:CN
        返        回:0 - 成功,其他 - 失败
        备  注:如何判断该证书是否是自签证书, issuer和subject一致
***************************************************/
int WINAPI opensslGenerateX509(char* pemFileName,
        unsigned char *pubKey, int pubLen,
        unsigned char *priKey, int priLen,
        unsigned long long cerId,
        char *validFrom,
        char *validTo,
        char* issuerCN, char* issuerOU, char* issuerO, char* issuerL, char* issuerST, char* issuerC,
        char* subjectCN, char* subjectOU, char* subjectO, char* subjectL, char* subjectST, char* subjectC)
{
        //导入PEM编码的RSA公钥(PKCS#8格式)
        RSA *rsaPubCtx = PemPublicKeyToRsa((unsigned char*)pubKey, pubLen);
        if (rsaPubCtx == NULL)
        {
                return ERR_RSA_PUBKEY;
        }

        //导入PEM编码的RSA私钥(PKCS#8格式)
        RSA *rsaSignCtx = PemPrivateKeyToRsa((unsigned char*)priKey, priLen);
        if (rsaSignCtx == NULL)
        {
                return ERR_RSA_PRIKEY;
        }

        X509* x509 = NULL;
        x509 = X509_new();
        
        //设置版本好
        X509_set_version(x509, 2);

        //设置公钥
        EVP_PKEY* pPubKey = NULL;
        pPubKey = EVP_PKEY_new();
        EVP_PKEY_set1_RSA(pPubKey, rsaPubCtx);
        X509_set_pubkey(x509, pPubKey);
        EVP_PKEY_free(pPubKey);
        pPubKey = NULL;

        //设置序列号
        ASN1_INTEGER* asnInteger = NULL;
        asnInteger = ASN1_INTEGER_new();
        ASN1_INTEGER_set(asnInteger, cerId);
        X509_set_serialNumber(x509, asnInteger); /* from openssl source,ASN1_INTEGER asnInteger copy,should free asnInteger after */
        ASN1_INTEGER_free(asnInteger);

        //设置Validity 有效期 :开始时间
        ASN1_TIME* ascTime = NULL;
        ascTime = ASN1_TIME_new();
        //ASN1_TIME_set_string(ascTime, "20220604184500Z");
        ASN1_TIME_set_string(ascTime, validFrom);
        X509_set_notBefore(x509, ascTime);
        ASN1_TIME_free(ascTime);
        
        //设置Validity 有效期 :截止时间
        ascTime = ASN1_TIME_new();
        //ASN1_TIME_set_string(ascTime, "20220605164508Z");
        ASN1_TIME_set_string(ascTime, validTo);
        X509_set_notAfter(x509, ascTime);
        ASN1_TIME_free(ascTime);
        
        //设置issuer
        X509_NAME* x509Name = NULL;
        x509Name = X509_get_issuer_name(x509);
        X509_NAME_add_entry_by_txt(x509Name, "CN", MBSTRING_ASC, (unsigned char*)issuerCN, -1, -1, 0);
        X509_NAME_add_entry_by_txt(x509Name, "OU", MBSTRING_ASC, (unsigned char*)issuerOU, -1, -1, 0);
        X509_NAME_add_entry_by_txt(x509Name, "O", MBSTRING_ASC, (unsigned char*)issuerO, -1, -1, 0);
        X509_NAME_add_entry_by_txt(x509Name, "L", MBSTRING_ASC, (unsigned char*)issuerL, -1, -1, 0);
        X509_NAME_add_entry_by_txt(x509Name, "ST", MBSTRING_ASC, (unsigned char*)issuerST, -1, -1, 0);
        X509_NAME_add_entry_by_txt(x509Name, "C", MBSTRING_ASC, (unsigned char*)issuerC, -1, -1, 0);
        
        //设置subject
        x509Name = X509_get_subject_name(x509);
        X509_NAME_add_entry_by_txt(x509Name, "CN", MBSTRING_ASC, (unsigned char*)subjectCN, -1, -1, 0);
        X509_NAME_add_entry_by_txt(x509Name, "OU", MBSTRING_ASC, (unsigned char*)subjectOU, -1, -1, 0);
        X509_NAME_add_entry_by_txt(x509Name, "O", MBSTRING_ASC, (unsigned char*)subjectO, -1, -1, 0);
        X509_NAME_add_entry_by_txt(x509Name, "L", MBSTRING_ASC, (unsigned char*)subjectL, -1, -1, 0);
        X509_NAME_add_entry_by_txt(x509Name, "ST", MBSTRING_ASC, (unsigned char*)subjectST, -1, -1, 0);
        X509_NAME_add_entry_by_txt(x509Name, "C", MBSTRING_ASC, (unsigned char*)subjectC, -1, -1, 0);

        //设置签名秘钥,并签名
        EVP_PKEY* pSignKey = NULL;
        pSignKey = EVP_PKEY_new();
        EVP_PKEY_set1_RSA(pSignKey, rsaSignCtx);
        X509_sign(x509, pSignKey, EVP_sha256());

        //保存生成证书
        FILE* pfile = NULL;
        pfile = fopen(pemFileName, "w");
        PEM_write_X509(pfile, x509);
        fclose(pfile);

        //释放内存
        if (x509 != NULL) {
                X509_free(x509);
                x509 = NULL;
        }
        RSA_free(rsaPubCtx);
        RSA_free(rsaSignCtx);
        return 0;
}

2.2 解析X.509证书

2.2.1 X.509中提取公钥

/****************************************************************************
        功  能:从X.509证书中提取PEM编码的公钥(PKCS#8格式)
        参  数:cert       - 输入,x509证书
                        certLen    - 输入,x509证书长度
                        pPemPubKey - 输出,PEM编码的公钥(PKCS#8格式)
                        PemKeyLen  - 输出,PEM编码的公钥长度
        返        回:0 - 成功,其他 - 失败
*****************************************************************************/
int WINAPI opensslParseX509PubKey(unsigned char* cert, int certLen, 
        unsigned char *pPemPubKey, int *PemKeyLen)
{
        BIO* certBio = BIO_new(BIO_s_mem());
        BIO_write(certBio, cert, certLen);
        X509* certX509 = PEM_read_bio_X509(certBio, NULL, NULL, NULL);
        if (!certX509) {
                return ERR_X509;
        }

        int nRet = ERR_OK;
        int pubkey_algonid = OBJ_obj2nid(certX509->cert_info->key->algor->algorithm);
        if (pubkey_algonid == NID_undef) {
                BIO_free(certBio);
                X509_free(certX509);
                return ERR_PUBKEY_ALGONID;
        }

        if (pubkey_algonid == NID_rsaEncryption || pubkey_algonid == NID_dsa) {
                EVP_PKEY *pkey = X509_get_pubkey(certX509);
                if (pkey == NULL)
                {
                        BIO_free(certBio);
                        X509_free(certX509);
                        return ERR_X509_PUBKEY;
                }
                RSA *rsa_key;
                switch (pubkey_algonid) {
                case NID_rsaEncryption:
                        rsa_key = pkey->pkey.rsa;
                        if (rsa_key == NULL)
                        {
                                nRet = ERR_X509_RSAKEY;
                        }
                        else
                        {
                                RsaToPemPublicKey(rsa_key, pPemPubKey, PemKeyLen);
                        }
                        break;
                default:
                        nRet = ERR_UNKNOWN;
                        break;
                }
                EVP_PKEY_free(pkey);
        }
        BIO_free(certBio);
        X509_free(certX509);
        return nRet;
}

2.2.2 X.509中提取指纹

/****************************************************************************
        功  能:从X.509证书中SHA1指纹(HEX编码)
        参  数:cert                - 输入,x509证书
                        certLen                - 输入,x509证书长度
                        thumbprint  - 输出,SHA1指纹(HEX编码) :40字节
        返        回:0 - 成功,其他 - 失败
*****************************************************************************/
int WINAPI opensslParseX509PemSha1thumbprint(unsigned char* cert, int certLen, char *sha1thumbprint)
{
        BIO* certBio = BIO_new(BIO_s_mem());
        BIO_write(certBio, cert, certLen);
        X509* certX509 = PEM_read_bio_X509(certBio, NULL, NULL, NULL);
        if (!certX509) {
                return ERR_X509;
        }

#define SHA1LEN 20
        char buf[SHA1LEN];
        const EVP_MD *digest = EVP_sha1();
        unsigned len;
        int rc = X509_digest(certX509, digest, (unsigned char*)buf, &len);
        if (rc == 0 || len != SHA1LEN) {
                return ERR_X509_DIGEST;
        }
        BIO_free(certBio);
        X509_free(certX509);
        hex_encode((unsigned char*)buf, sha1thumbprint, SHA1LEN);
        return 0;
}

/****************************************************************************
        功  能:从X.509证书中SHA256指纹(HEX编码) 
        参  数:cert                - 输入,x509证书
                        certLen                - 输入,x509证书长度
                        thumbprint  - 输出,SHA256指纹(HEX编码) :64字节
        返        回:0 - 成功,其他 - 失败
*****************************************************************************/
int WINAPI opensslParseX509PemSha256thumbprint(unsigned char* cert, int certLen, char *sha256thumbprint)
{
        BIO* certBio = BIO_new(BIO_s_mem());
        BIO_write(certBio, cert, certLen);
        X509* certX509 = PEM_read_bio_X509(certBio, NULL, NULL, NULL);
        if (!certX509) {
                return ERR_X509;
        }

#define SHA256LEN 32
        char buf[SHA256LEN];
        const EVP_MD *digest = EVP_sha256();
        unsigned len;
        int rc = X509_digest(certX509, digest, (unsigned char*)buf, &len);
        if (rc == 0 || len != SHA256LEN) {
                return ERR_X509_DIGEST;
        }
        BIO_free(certBio);
        X509_free(certX509);
        hex_encode((unsigned char*)buf, sha256thumbprint, SHA256LEN);
        return 0;
}

3 演示Demo

3.1 开发环境

  • OpenSSL 1.0.2l

  • Visual Studio 2015

  • Windows 10 Pro x64

3.2 功能介绍

        演示程序主界面如下图所示,包括生成子签名X.509,X.509提取公钥和X.509提取指纹等功能。

3.3 下载地址

          非对称加密算法RSA的OpenSSL代码实现Demo

mickey0380
关注
  • 13
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用OpenSSL生成证书 pem文件的生成 celery Security
0x8g1T9E-
04-16 1万+
找了很久,找到了一篇生成pem文件的文章(找了很多篇,有些生成的pem文件不对,当时被误导了很久)。(前面也花了好一些时间,才意识到自己要百度的内容:openssl如何生成pem公私钥),文章连接为:https://blog.csdn.net/m0_38080126/article/details/77609304 celery Securityhttps://docs.celeryproject.org/en/stable/userguide/security.html#id6 https://...
基于openssl实现AES加密(C语言)
ylgcgbd的博客
06-17 6221
一、AES加密算法
ATECC508A芯片开发笔记(六):产生CSR以及申请证书(X.509)流程及其内容分析
热门推荐
HowieXue 薛永浩的博客
07-17 2万+
ATECC508A芯片开发笔记(六):产生CSR以及申请证书(X.509)流程及其内容分析 508A产生CSR文件流程 CSR文件内容分析 由CSR签发下来的证书内容分析 一、508A产生CSR文件流程 上节提到,在Provisoin时508A会产生至少一对公私钥,然后使用其公钥产生一个CSR(Certificate Signing Request)文件, CSR文件中其实完整包
解析数字证书的两种方法—openssl命令和python pyopenssl模块
村中少年的专栏
07-12 8084
通过openssl命令和python pyopenssl模块解析数字证书
java网络学习之 PKCS标准 X.509标准 证书等概念 的汇总(16)
xiaoliuliu2050的专栏
04-18 1415
一、文件编码格式(pem,der) PEM (Privacy Enhancement Message),定义见RFC1421 是一种基于 base64 的编码格式,常见于 linux/unix 下的证书编码 结构组成== {header} body {tail}示例 -----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBi...
openssl demo1
u011084153的专栏
05-26 557
#define sprintf_s sprintf       #include "stdafx.h"      #include <LOCALE.H>      #include "ca.h"      #include <OPENSSL pem.h>      #include <OPENSSL x509.h>      #include &lt...
OpenSSL 常用函数——证书操作
一路奔跑94的博客
12-27 1920
OpenSSL 常用函数——证书操作 现有的证书大多采用X. 509规范,主要由以下信息组成:版本号、证书序列号、有效期、所有者信息、发行者信息、其他扩展信息、所有者公钥、CA的上述信息签名。一种OpenSSL实现了对X. 509的所有数字证书操作。它包括发放数字证书、解析和验证证书等一种证书操作涉及的主要功能有证书验证(证书链、有效期、CRL)、证书解析(证书版本、序列号、发行人信息、主体信息...
ATECC508A芯片开发笔记(六):产生CSR以及申请证书(X.509)流程及其内容分析...
chuxiong4242的博客
07-19 207
ATECC508A芯片开发笔记(六):产生CSR以及申请证书(X.509)流程及其内容分析 508A产生CSR文件流程 CSR文件内容分析 由CSR签发下来的证书内容分析 一、508A产生CSR文件流程 上节提到,在Provisoin时...
iOS适配HTTPS,创建一个自签名的SSL证书(x509)具体步骤
diaoju3333的博客
12-16 249
iOS适配HTTPS,创建一个自签名的SSL证书(x509)具体步骤 引言(创建生成的证书只能用于测试使用。如果想使用自签名证书就只能以自己为 CA机构颁发证书,进行双向认证才能使用) 使用HTTP(超文本传输)协议访问互联网上的数据是没有经过加密的。也就是说,任何人都可以通过适当的工具拦截或者监听到在网络上传输的数据流。但是有时候,我们需要在网络上传输一些安全性或者私...
Java加解密(八)数字证书
yunyun1886358的专栏
01-15 4660
数字证书(Digital Certificate),一般指公钥证书(Public Key Certificate,PKC),类似于我们生活中的身份证,用于标识网络中的用户(计算机)身份,里面记有姓名、组织,邮箱,地区,国家等个人信息,以及属于此人的公钥,还包含由认证机构(Certification Authority,CA)施加的数字签名。公钥证书也简称为证书(Certificate)。上面的描述是不是很抽象,下面我们来具体看一看一个证书包含的具体数据。下面的内容是通过Java程序从证书文件。
demo_openssl_api.tar.gz_DEMO_OPENSSL DEMO_SSL实现_linux openssl_li
09-23
在这个过程中,我们不仅要熟悉OpenSSL提供的API,还需要对X.509证书体系、公钥加密和数字签名等基础理论有清晰的认识。同时,对于网络协议如TCP/IP的了解也是必要的,因为SSL/TLS是在传输层之上建立的。 总的来说,...
openssl生成的证书demo
05-14
通过这个“openssl生成的证书demo”,我们可以了解到OpenSSL在创建和管理数字证书方面的强大功能,这对于构建安全的网络服务和客户端应用至关重要。在理解和实践这些步骤后,你将能够更好地处理SSL/TLS证书相关的...
OpenSSL 3.0 Demo
09-28
OpenSSL 是一个强大的安全套接层 (SSL) 和传输层安全 (TLS) 库,用于加密通信、实现网络协议,并提供了各种加密算法、哈希函数和数字签名等服务。在这个"OpenSSL 3.0 Demo"中,我们将探讨如何在Visual Studio 2019...
OpenSslSocket Demo
02-21
X509Certificate2是.NET Framework中的一个类,用于表示X.509数字证书。X.509是一种标准格式,用于存储公钥基础设施(PKI)中的公钥证书。证书包含公钥、身份信息(如组织名、域名)、证书颁发机构信息、有效期等,...
OpenSSL使用指南
04-07
- **X.509证书**:遵循X.509标准的数字证书。 ### 7. 参考网址 (REF) 为了更深入地了解OpenSSL及其相关知识,以下是一些有用的参考资料: - [OpenSSL 官方网站](https://www.openssl.org/) - [Netscape Developer...
MyCertificateDemo.rar
最新发布
04-16
3. **X.509标准**:数字证书通常遵循X.509标准,这个标准定义了证书的格式和内容,包括证书持有者的身份信息、公钥、有效期、颁发者等。 4. **代码示例**:"Demo"可能是一个编程示例,可能用Java、Python、C#等语言...
证书和私钥生成demo-(C++)VS开发
12-21
2. **创建X.509证书主体信息**:接下来,我们需要定义证书的主体信息,如序列号、有效期、组织名、组织单位、国家等。这可以通过`X509_new`创建一个新的X.509结构,然后使用`X509_set_issuer_name`和`X509_set_...
RSA.rar_DEMO_delphi rsa_rsa_rsa delphi
09-22
6. 公钥基础设施(PKI):在实际应用中,RSA常与X.509证书结合,用于建立安全的公钥基础设施,确保公钥的合法性。 在DEMO中,可能还会有如何存储和交换密钥的示例,以及如何处理可能出现的异常情况。学习这个DEMO...
使用openssl签发X.509证书的基本操作
06-08
使用 OpenSSL 签发 X.509 证书的基本操作如下: 1. 生成私钥 使用 OpenSSL 命令生成私钥: ``` openssl genpkey -algorithm RSA -out key.pem ``` 这将生成一个 RSA 算法的私钥文件 key.pem。 2. 生成证书请求 使用 OpenSSL 命令生成证书请求: ``` openssl req -new -key key.pem -out req.pem ``` 这将生成一个证书请求文件 req.pem。 在生成证书请求时,需要填写一些信息,如国家、省、城市、组织、通用名称等。 3. 签发证书 使用 OpenSSL 命令签发证书: ``` openssl x509 -req -in req.pem -signkey key.pem -out cert.pem -days 365 ``` 这将使用私钥 key.pem 签发证书,有效期为 365 天,生成的证书文件为 cert.pem。 4. 验证证书 使用 OpenSSL 命令验证证书: ``` openssl x509 -in cert.pem -noout -text ``` 这将显示证书的详细信息,包括证书序列号、颁发者、有效期、公钥等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值