国密gmssl安装,签名验签,证书生成撤销功能汇总

已于 2024-08-08 10:43:44 修改
阅读量1.8k 收藏 11
点赞数 53
文章标签: 密码学
于 2024-05-17 10:19:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30531921/article/details/138998000
版权
本文详细介绍了如何安装GmSSL,包括编译、安装步骤,以及如何使用GmSSL进行SM4加密解密、SM3摘要、SM2签名验签等操作,还涵盖了证书生成、吊销功能和CRL文件的生成与验证。
摘要由CSDN通过智能技术生成

一、下载GmSSL源码

git clone   https://github.com/guanzhi/GmSSL/archive/master.zip

解压缩至当前工作目录,这个是主分支代码

$ unzip GmSSL-master.zip

二、编译与安装

$ mkdir build

$ cd build

$ cmake ..

$ make

$ make test

$ sudo make install

安装之后可以执行gmssl命令行工具检查是否成功:

$ gmssl version

GmSSL 3.1.2 Dev

三、命令行使用

SM4加密解密

$ KEY=11223344556677881122334455667788

$ IV=11223344556677881122334455667788

$ echo hello | gmssl sm4 -cbc -encrypt -key $KEY -iv $IV -out sm4.cbc

$ gmssl sm4 -cbc -decrypt -key $KEY -iv $IV -in sm4.cbc

$ echo hello | gmssl sm4 -ctr -encrypt -key $KEY -iv $IV -out sm4.ctr

$ gmssl sm4 -ctr -decrypt -key $KEY -iv $IV -in sm4.ctr

SM3摘要

$ echo -n abc | gmssl sm3

$ gmssl sm2keygen -pass 1234 -out sm2.pem -pubout sm2pub.pem

$ echo -n abc | gmssl sm3 -pubkey sm2pub.pem -id 1234567812345678

$ echo -n abc | gmssl sm3hmac -key 11223344556677881122334455667788

SM2签名和验签

$ gmssl sm2keygen -pass 1234 -out sm2.pem -pubout sm2pub.pem

$ echo hello | gmssl sm2sign -key sm2.pem -pass 1234 -out sm2.sig #-id 1234567812345678

$ echo hello | gmssl sm2verify -pubkey sm2pub.pem -sig sm2.sig -id 1234567812345678

$ echo hello | gmssl sm2encrypt -pubkey sm2pub.pem -out sm2.der

$ gmssl sm2decrypt -key sm2.pem -pass 1234 -in sm2.der

SM2加密和解密

$ gmssl sm2keygen -pass 1234 -out sm2.pem -pubout sm2pub.pem

$ echo hello | gmssl sm2encrypt -pubkey sm2pub.pem -out sm2.der

$ gmssl sm2decrypt -key sm2.pem -pass 1234 -in sm2.der

生成SM2根证书rootcakey.pemCA证书cakey.pem

$ gmssl sm2keygen -pass 1234 -out rootcakey.pem

$ gmssl certgen -C CN -ST Beijing -L Haidian -O PKU -OU CS -CN ROOTCA -days 3650 -key rootcakey.pem -pass 1234 -out rootcacert.pem -key_usage keyCertSign -key_usage cRLSign

$ gmssl certparse -in rootcacert.pem

$ gmssl sm2keygen -pass 1234 -out cakey.pem

$ gmssl reqgen -C CN -ST Beijing -L Haidian -O PKU -OU CS -CN "Sub CA" -days 3650 -key cakey.pem -pass 1234 -out careq.pem

$ gmssl reqsign -in careq.pem -days 365 -key_usage keyCertSign -path_len_constraint 0 -cacert rootcacert.pem -key rootcakey.pem -pass 1234 -out cacert.pem

使用CA证书签发签名证书和加密证书

$ gmssl sm2keygen -pass 1234 -out signkey.pem

$ gmssl reqgen -C CN -ST Beijing -L Haidian -O PKU -OU CS -CN localhost -days 365 -key signkey.pem -pass 1234 -out signreq.pem

$ gmssl reqsign -in signreq.pem -days 365 -key_usage digitalSignature -cacert cacert.pem -key cakey.pem -pass 1234 -out signcert.pem

$ gmssl sm2keygen -pass 1234 -out enckey.pem

$ gmssl reqgen -C CN -ST Beijing -L Haidian -O PKU -OU CS -CN localhost -days 365 -key enckey.pem -pass 1234 -out encreq.pem

$ gmssl reqsign -in encreq.pem -days 365 -key_usage keyEncipherment -cacert cacert.pem -key cakey.pem -pass 1234 -out enccert.pem

将签名证书和ca证书合并为服务端证书certs.pem,并验证

$ cat signcert.pem > certs.pem

$ cat cacert.pem >> certs.pem

$ gmssl certverify -in certs.pem -cacert rootcacert.pem

查看证书内容

$ gmssl certparse -in cacert.pem

生成CRL文件

吊销证书,生成吊销信息文件

gmssl certrevoke -in signcert.pem -reason keyCompromise -invalid_date 20240325120000Z  -out revoke_cert.der

常用吊销证书原因,最后有说明。

生成crl文件

gmssl crlgen -in revoke_cert.der -cacert cacert.pem -key cakey.pem -pass 1234 -out a.der

EXAMPLE:

gmssl crlgen -in revoke_cert.der -cacert cacert.pem -key cakey.pem -pass 1234 -next_update 20240325120000Z -out test_guoqi_crl.der

验证crl文件

gmssl crlverify -in a.der -cacert cacert.pem

解析crl文件

gmssl crlparse -in a.der

解析revoke_cert.der

openssl asn1parse -in revoke_cert.der -inform DER

指定吊销证书的原因,常用的有以下情况:

  1. unspecified(未指定):
    • 没有提供具体的吊销原因。
  2. keyCompromise(密钥泄露):
    • 证书的私钥已经泄露或可能已被未经授权的第三方获取。
  3. CACompromiseCA泄露):
    • 签发证书的认证机构(CA)的私钥已经泄露,可能导致证书被篡改或错误签发。
  4. affiliationChanged(隶属关系改变):
    • 证书持有者的隶属关系或组织状态已经发生改变,证书不再适用。
  5. superseded(被取代):
    • 证书已经被一个新的证书取代,新证书具有更新的信息或更长的有效期。
  6. cessationOfOperation(停止运营):
    • 证书持有者已经停止运营或不再使用此证书。
  7. certificateHold(证书暂停):
    • 证书被暂停使用,通常是由于需要进一步审核或由于某种特定原因。
  8. removeFromCRL(从CRL中移除):
    • 这是一个特殊情况,表示之前的吊销通知被错误地发布,现在需要从CRL中移除该吊销条目。
  9. privilegeWithdrawn(权限撤销):
    • 证书持有者的某些权限或特权已经被撤销,证书不再有效。
  10. aACompromise(属性授权泄露):
    • 与证书关联的属性授权机构(AA)的私钥已经泄露,可能导致证书的属性信息被篡改。
码农小M
关注
  • 53
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
gmssl国密sm2(生成密钥对-私钥签字-证书验签)
数字人生
12-11 8615
所以在缺省情况下,ENTL值是0x0080.a, b, x_G, y_G 都是SM2算法标准中给定的值。a和b是椭圆曲线y=x+ax+b的系数,x_G, y_G是SM2算法选定的基点的坐标。x_A || y_A就是公钥两部分值的拼接,注意,没有0x04的部分;将上述各元素拼接值进行SM3运算,得到结果Z。Z是第一步运算得到的摘要,M是签名的原文,将两者拼接,再进行SM3摘要运算。ENTL || ID || a || b || x_G || y_G || x_A || y_A表示签名元素数据的拼接(级联)。
GmSSL-3.0.0国密支持的验证笔记
yjkhtddx的专栏
08-01 1328
github上的tag只有3.0.0和3.1.1两个版本。
终于解决了!!! 基于GmSSL的SM2签名算法及思路分享
最新发布
点滴路程
07-12 859
问题最终得以解决了,似乎看起来也并不困难。其中的酸楚,估计也就只有经历过的人才了解。找到可以验证正确性的方式。本文中就是SM2 在线验签工具确定方向可行后,花心思去研究。比如,我在通过gmssl命令行进行SM2签名验签通过后,就认为该开源库应该是满足要求的。对于不了解的内容,遇到困难不要轻言放弃,转换思路,投机取巧。希望我的经验能够帮助你。若我的内容对您有所帮助,还请关注我的公众号。不定期分享干活,剖析案例,也可以一起讨论分享。踩完您工作中的所有坑并分享给您,让你的工作无bug,人生尽是坦途。
国密gmssl国密算法gmssl生成证书命令
小迷糊
03-28 1186
国密算法 gmssl
如何在Linux中安装GmSSL
weixin_37644303的博客
07-02 648
GmSSL是一个开源的密码工具箱,支持SM2/SM3/SM4/SM9/ZUC等国密(国家商用密码)算法
含泪入坑 GMSSL
围炉夜话
09-23 5623
耍耍 gmssl
sm2测试加密解密签名验签性能代码(基于Gmssl)c语言
09-04
sm2测试加密解密签名验签性能代码(基于Gmssl)c语言
gmssl生成ca证书 ca证书签发用户证书
12-25
本工具包含windows版本编译好的gmssl.exe(Linux版本需自己编译,命令行是通用的),以及方便签发证书的bat文件,gmssl命令行详细解释。可以用来生成ca证书,并且用ca证书签发用户证书
基于gmssl国密sm2 加密,解密,签名验签代码
12-22
基于gmssl 的 sm2 加密,解密,签名验签代码。绝对可运行的代码程序(自行编写HexToASCII,ASCIIToHex函数), 公钥,私钥均为16进制字符串形式。 编译命令g++ main.cpp -lcrypto -lKYLib -L./ -I ./ -Wl,-rpath=/usr/local/testsm_gmssl -std=c++98 -w -Wfatal-errors -fPIC -fexceptions
GmSSL签名验证(GmSSL 命令行)
qq_63016521的博客
10-07 647
GmSSL签名验证(GmSSL 命令行)
gmssl制作国密SM2证书
06-21
gmssl制作国密SM2证书的方法,符合国密标准
gmssl 2.0测试sm2加解密、签名 sm3摘要
12-14
GmSSL 2.0 - OpenSSL 1.1.0d 26 Jan 2017 版本上,编写的sm2 加解密 ,签名验签,sm3摘要的测试程序
GmSSL源码与签发SM2证书
01-08
资源中包含GmSSL源码能直接编译通过,也可直接使用编译后的文件进行相关操作;包含编译方法与签发SM2证书方法
gmssl测试sm2加解密、签名、随机数
12-22
gmssl测试代码基础上修改,实现sm2加解密调用、sm2签名调用和验证、符合国标的随机数生成方式调用
基于GMSSL的SM9签名,密钥交换,加密,解密
01-18
代码是基于GMSSL国密SM9算法。包括签名,密钥交换,加密,解密。demo直接运行就可以,有相关测试数据。
国密签名验证签名的例子
01-19
文件名"gmsign"可能是实现国密签名功能的源代码文件,其中包含了SM2签名验证的函数或类。通过阅读和理解这个文件,开发者可以学习到如何在C++环境中实现国密SM2算法的签名验证过程。 总的来说,这个例子提供了...
国密GmSSL v2版本命令行方式生成国密sm2私钥、公钥、签名验证签名
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
09-07 2952
GmSSL国密算法的工具库(主要包含SM2、SM3、SM4和国密SSL证书生成功能),项目本身是OpenSSL的分支,但是截至文章发布为止,OpenSSL主分支的国密算法并不完善,目前并不支持签名和解签,所以国密算法这块还是需要使用GmSSL工具库。网上现在并没有v2版本的GmSSL可用的命令行文章,本章用于记录这些命令。本文原创自csdn博客,其他网站看到这篇文章都是盗,版,爬。虫。网站,支持原创,远离盗版。
使用openssl 1.1.1版本,调试国密SM2签名验签、加密解密、SM3
11-20
OpenSSL 1.1.1 新特性: 全面支持国密SM2/SM3/SM4加密算法,最近的项目涉及到国密,又局限于资源有限,只能只能上了。
nginx gmssl
08-08
Nginx与gmssl的关系是,Nginx是一个开源的高性能的HTTP服务器和反向代理服务器,而gmssl是GNU版OpenSSL,是对OpenSSL的一种改进。Nginx可以与gmssl一起使用来实现基于国密算法的SSL/TLS加密通信。在配置Nginx与gmssl时,需要修改Nginx的配置文件以及安装gmssl相关的库和证书。 根据引用中的内容可以看出,在Nginx的配置文件中,可以通过修改ssl_certificate和ssl_certificate_key的路径来指定gmssl证书和私钥的位置。这样就可以实现使用gmssl的SSL/TLS加密通信。 而根据引用中的内容,可以看到在安装Nginx时,需要指定gmssl的路径,并且需要对Nginx进行编译和安装。 在配置Nginx与gmssl时,还需要注意执行文件路径的正确性,如引用中提到的,需要确认执行路径是否正确。 总结起来,Nginx与gmssl的配置包括修改Nginx的配置文件、安装gmssl相关的库和证书,并确保执行路径正确,以实现基于国密算法的SSL/TLS加密通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值