Openssl和PKCS#11的故事

最新推荐文章于 2024-05-14 10:24:11 发布
最新推荐文章于 2024-05-14 10:24:11 发布
阅读量2k 收藏 7
点赞数
分类专栏: OpenSSL 文章标签: openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qian00215145/article/details/84651110
版权

1.1   What to do

通过Openssl和PKCS#11接口,使用USBKEY中的私钥和证书来签发一个下级证书。

1.2              背景

数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步 骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。

 

 

 

 

一个标准的X.509数字证书包含以下一些内容:

证书的版本信息;

证书的序列号,每个证书都有一个唯一的证书序列号;

证书所使用的签名算法;

证书的发行机构名称,命名规则一般采用X.500格式;

证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;

证书所有人的名称,命名规则一般采用X.500格式;

证书所有人的公开密钥;

证书发行者对证书的签名。

 

简而言之,CA从PKCS#10证书请求(或者P7格式)中读取用户信息和公钥信息,使用这些信息封装成一个X.509格式(可能是不同版本,比较 普遍是V3),此时唯一没有包括的是证书发行者对证书的签名,此时使用CA的私钥进行签名,得到签名值后CA将其填充到X.509相对应的结构中去,一个 X.509证书宝宝就此诞生了。

 

此处唯一不同的是CA的公私钥对和证书都存放在USBKEY中(当然也能存放在加密机或加密卡中),所以将通过USBKEY的PKCS#11接口完成上述操作,而证书相关操作就由Openssl代劳了。

 

1.3              正题

第一、使用Usbkey向某个CA申请一个证书

通过下面的命令来验证,第一组公私钥对和证书是签名证书,第二组是加密证书。可以很明显地看出他们是通过Csp方式操作整个证书申请过程的。

C:\Program Files\Smart card bundle>pkcs11-tool.exe --module DMPKCS11.dll –O

Certificate Object, type = X.509 cert

label:      cert addey by CSP

ID:         37af001ddbd525e640ca3c3f6d78b009741d1f48

Public Key Object; RSA 1024 bits

label:      pub key addey by CSP

ID:         37af001ddbd525e640ca3c3f6d78b009741d1f48

Usage:      encrypt, verify

Private Key Object; RSA

label:      private key addey by CSP

ID:         37af001ddbd525e640ca3c3f6d78b009741d1f48

Usage:      decrypt, sign

Certificate Object, type = X.509 cert

label:      cert addey by CSP

ID:         ab268f4320a426b4a6ce70d757cd11fcd83b8ddd

Public Key Object; RSA 1024 bits

label:      pub key addey by CSP

ID:         ab268f4320a426b4a6ce70d757cd11fcd83b8ddd

Usage:      encrypt, verify

Private Key Object; RSA

label:      private key addey by CSP

ID:         ab268f4320a426b4a6ce70d757cd11fcd83b8ddd

Usage:      decrypt, sign

 

第二、生成PKCS#11的证书请求

这里直接使用Java程序生成一个证书请求。

import java.io.OutputStreamWriter;

import java.security.KeyPair;

import java.security.KeyPairGenerator;

 

import javax.security.auth.x500.X500Principal;

 

import org.bouncycastle.jce.PKCS10CertificationRequest;

import org.bouncycastle.openssl.PEMWriter;

 

/**

* Generation of a basic PKCS #10 request.

*/

public class PKCS10CertRequestExample

{

    public static PKCS10CertificationRequest generateRequest(

        KeyPair pair)

        throws Exception

    {

        return new PKCS10CertificationRequest(

                "SHA256withRSA",

                new X500Principal("C=CN,ST=上海,L=上海,O=火星,OU=北极,CN=超人"),

                pair.getPublic(),

                null,

                pair.getPrivate());

    }

   

    public static void main(

        String[]    args)

        throws Exception

    {

        // create the keys

        KeyPairGenerator kpGen = KeyPairGenerator.getInstance("RSA", "BC");

        kpGen.initialize(1024, Utils.createFixedRandom());

        KeyPair          pair = kpGen.generateKeyPair();

        PKCS10CertificationRequest request = generateRequest(pair);

        PEMWriter        pemWrt = new PEMWriter(new OutputStreamWriter(System.out));

        pemWrt.writeObject(request);

        pemWrt.close();

    }

}

 

 

证书请求

-----BEGIN CERTIFICATE REQUEST-----

MIIBoDCCAQkCAQAwYjEPMA0GA1UEAwwG6LaF5Lq6MQ8wDQYDVQQLDAbljJfmnoEx

DzANBgNVBAoMBueBq+aYnzEPMA0GA1UEBwwG5LiK5rW3MQ8wDQYDVQQIDAbkuIrm

tbcxCzAJBgNVBAYTAkNOMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCw7iyU

/8p1lCxnJifdqxNYO1cTVg35BBtscQsrtug9Br3Vge/kNX9KC5xOGhdcK1IDjl3d

1CGsRtnb4dEFqtkjKWQ1z5WZxXWoVfkqwP3AJg8y10BhiiDqPPbn3II4o8Nc+bvz

tDm32HbNXcyXWLR5aEJx1FiJYdDmDbRbgGrcawIDAQABMA0GCSqGSIb3DQEBCwUA

最低0.47元/天 解锁文章
qian00215145
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
为证书添加CRL分布点以及授权信息访问
weixin_45041913的博客
02-24 240
使用openssl函数接口,为x509证书添加CRL分布点和授权信息访问两个拓展域
gmssl编程之签发X509证书
lt4959的专栏
03-12 2908
gmssl编程之签发证书前言命令行实现方式编程实现方式step1. 产生密钥对step2. 生成证书请求step3. 签发X509源代码 前言 最近由于项目需求,需要通过代码组装并签发标准X509格式数字证书。故而查询资料对gmssl/openssl中签发证书流程就行了一番研究,终于完成。先记录如下. 命令行实现方式 命令行方式下使用gmssl/openssl指令进行证书签发主要有三步:生成密钥对(私钥)、生成证书请求、签发证书。 具体小伙伴们可参考小编这篇文章:Gmssl生成自签名证书 编程实现方式 同理
OpenSSL命令解析—pkcs12
最新发布
05-14 897
市面上各大银行open api 、阿里、微信、以及各种应用对接的资金类安全接口都需要加签处理,加签类型一般都是非对称加密,由于开发语言技术栈影响这里就有许多秘钥类型转换;常见的有*.jks,*.pfx, *.pem,他们之间的转换方式都可以用OpenSSL 工具解决;PKCS#12文件在创建或分析的时候要依赖有一些选项。默认的是分析一个PKCS#12文件。一个PKCS#12文件可以用B<-export>选项来创建。
VC++网络安全编程范例(12)-PKI编程
weixin_30906425的博客
12-17 211
PKI(Public Key Infrastructure ) 即"公钥基础设施",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。   PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数...
openssl主要流程程序代码
zhulianhai0927的专栏
05-14 1279
   // CA.cpp : Defines the entry point for the DLL application.      //      #define sprintf_s sprintf       #include "stdafx.h"      #include       #include "ca.h"      #include       #incl
libp11:PKCS#11 包装库
08-05
OpenSSL 库的 pkcs11 引擎插件允许以半透明的方式访问 PKCS#11 模块。 该项目的 wiki 页面位于 ,包括错误跟踪器和源浏览器。 PKCS#11 PKCS#11 API 是一个抽象 API,用于对加密对象(例如私钥)执行操作,而无需...
qsslkey-p11:使用PKCS11的QSslKey
05-23
本示例说明如何使用OpenSSL( )和engine_pkcs11( )来使QSslSocket使用私钥和HSM的证书( )使用PKCS11( )。 要测试此示例,您将需要OpenSSL标头和库,binary_pkcs11的二进制版本以及PKCS11模块(所用设备...
Openssl Engine pkcs11 示例程序
02-17
OpenSSL的0.9.7版,Engine机制集成到了OpenSSL的内核中,成为了OpenSSL不可缺少的一部分。 Engine机制目的是为了使OpenSSL能够透明地使用第三方提供的软件加密库或者硬件加密设备进行...支持PKCS#11接口的Engine接口
opencryptoki:适用于Linux的PKCS11库和工具。 包括支持TPM和IBM加密硬件的令牌以及软件令牌
02-12
openCryptoki版本3.15实现了PKCS11规范版本3.0。 该软件包包括几个加密令牌:CCA,ICA,TPM,SWToken,ICSF和EP11。 有关openCryptoki的更深入概述,请参阅 要求: IBM ICA-需要libica库版本3.3.0或更高版本...
pkcs11js:PKCS11 2.3接口的Node.js实现。 (关键字
05-09
PKCS11(也称为CryptoKI或PKCS11)是用于与诸如智能卡和硬件安全模块(HSM)之类的硬件加密设备进行交互的标准接口。 该文件是根据PKCS11 2.30规范开发的,在我们创建此文件时尚未提供2.40标头,应该足够容易...
X509数字证书
好习惯成就伟大
11-16 5198
主要函数 1) X509_STORE_add_cert 将证书添加到X509_STORE中。 1)X509_STORE_add_crl 将crl添加到X509_STORE中。 2)void X509_STORE_set_flags(X509_STORE *ctx, long flags) 将flags赋值给ctx里面的flags,表明了验证证书时需要验证哪些项。 4) X509_TRUST_set_default 设置默认的X509_T...
Kubernetes集群安全:Api Server认证
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
11-11 3426
Kubernetes提供了三种级别的客户端认证方式: HTTPS证书认证,是基于CA根证书签名的双向数字证书认证方式,是最严格的认证 HTTP Token认证,通过Token识别每个合法的用户 HTTP Basic认证 HTTP Token认证和Http Basic认证是相对简单的认证方式,Kubernetes的各组件与Api Server的通信方式仍然是HTTPS,但不再使用CA数字证书。 ...
Openssl API制作证书
Sagely's blog
04-28 3834
    Openssl中形成X509证书的函数集中在genrsa.c,req.c,ca.c,x509.c等中,但是这些文件中的函数过于复杂,不太容易理解。下载了中国信息安全组织webmaster的CISOCA后受益非浅,思路清晰,真是非常感谢zrh。一:准备工作    确保在windows2000系统安装了openssl,vc6.0。将libeay32.dll和SSLeay32.dll复制到sys
signature=1e5657848f9bb9bd818e064c10667328,openssl/x509.c at 0f9fdefeb05768b86f4364a8e976c87ee197638...
weixin_26731219的博客
05-29 1172
/** Copyright 1995-2020 The OpenSSL Project Authors. All Rights Reserved.** Licensed under the Apache License 2.0 (the "License"). You may not use* this file except in compliance with the License. Y...
Openssl X509 v3 AuthorityKeyIdentifier实验与逻辑分析
11-15 940
Openssl是X509的事实标准,目前主流OS或个别安全性要求较高的设计场景,对X509的证书链验证已经不在停留在只从数字签名校验了,也就是仅仅从公钥验签的角度,在这些场景中,往往还会校验AuthorityKeyIdentifier和SubjectKeyIdentifier的一致性,也即下级证书的AuthorityKeyIdentifier应该与上级证书的SubjectKeyIdentifier一致,这两个参数是X509 v3 extensions的范围。以上各种情况,均可以通过以下命令验证通过。
本软件包将每个openssl的apps程序做成一个可直接运行调试的VC Console 类型应用程序
晓阳 的专栏
07-23 2218
// CA.cpp : Defines the entry point for the DLL application.     //     #define sprintf_s sprintf      #include "stdafx.h"     #include      #include "ca.h"     #include      #include      #in
opensslpkcs#1 格式的 ec私钥转换为 pkcs#8 格式
06-06
其中,`-topk8` 表示将私钥转换为 PKCS#8 格式,`-inform PEM` 和 `-outform PEM` 表示输入和输出格式都为 PEM 格式,`-nocrypt` 表示不加密私钥,`-in` 和 `-out` 分别表示输入和输出文件名。需要将命令中的 `ec_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值