opensll证书解析验证(1

已于 2023-07-11 17:59:59 修改
阅读量436 收藏 1
点赞数
分类专栏: c语言安全类 文章标签: ssl c语言
于 2023-07-11 14:35:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44401850/article/details/131644309
版权

X.509证书解析

结构体及部分接口说明

1、x509结构
x509_st
cert_info:证书主体信息;
sig_alg:签名算法;
signature:签名值,存放CA对该证书签名的结果;
valid:是否是合法证书,1为合法,0为未知;
references:引用次数,被引用一次则加一;
name:证书持有者信息;
ex_data:扩展数据结构,用于存放用户自定义的信息;
ex_pathlen:证书路径长度;
ex_kusage:密钥用法;
ex_xkusage:扩展密钥用法;
ex_nscert:Netscape证书类型;
skid:主体密钥标识;
akid:颁发者密钥标识;
policy_cache:各种策略缓存;
sha1_hash:存放证书的sha1摘要值;
aux:辅助信息;
2、常用接口
1)DER编码()转换为内部结构X509

X509 *d2i_X509(X509 **cert, unsigned char **d, int len);

2)获取证书版本号

#define X509_get_version(x)  ASN1_INTEGER_get((x)->cert_info->version)

3)获取颁发者信息

ASN1_INTEGER *X509_get_serialNumber(X509 *x);

4)获取序列号

ASN1_INTEGER *X509_get_serialNumber(X509 *x);

5)获取证书拥有者信息

X509_NAME *X509_get_subject_name(X509 *a);

6)获取起始日期和截至日期

#define X509_get_notBefore(x)        ((x)->cert_info->validity->notBefore)
#define X509_get_notAfter(x)           ((x)->cert_info->validity->notAfter)

7)获取证书公钥函数

EVP_PKEY *X509_get_pubkey(X509 *x);

8)验证证书
X509_verify_cert函数用于验证X.509证书的合法性。它执行以下验证步骤:

  1. 验证证书的签名:对于自签名证书,会使用证书本身作为公钥进行验证;对于由其他证书签发的证书,会使用签发者的公钥进行验证。
  2. 验证证书的有效期:检查证书的有效期限,包括起始时间(notBefore)和结束时间(notAfter)。
  3. 验证证书的主题和发行者:检查证书的主题(subject)和发行者(issuer),确保它们符合规范。
  4. 验证证书链:如果提供了CA证书链,会检查证书是否属于正确的证书链。
  5. 验证证书扩展:根据需要,可以验证证书的扩展字段,如密钥用法、扩展密钥用法等。
    如果所有的验证步骤都通过,X509_verify_cert函数将返回1,表示证书是合法的。否则,返回值将是0或负数,表示验证失败,并可以通过调用X509_STORE_CTX_get_error函数获取详细的错误代码。
    请注意,X509_verify_cert函数只执行基本的验证步骤。如果需要更复杂的验证,例如检查证书链中的中间证书、检查证书撤销列表(CRL)等,可能需要使用其他函数和工具来完成。

测试程序

cmakelist

project(parseCertTest C)
set(CMAKE_CXX_STANDARD)
aux_source_directory(. DIR_SRCS)
include_directories(../openssl)
link_directories(../third-Part/openssl/lib)
add_executable(parseCertTest ${DIR_SRCS})
#使用到的openssl里使用到的库需要包含,使用dlsym等需要链接dl库用于运行时动态获取	
target_link_libraries(parseCertTest PRIVATE crypto pthread ssl dl)

测试程序主要是提取信息,验证证书,提取公钥,需要终端打印信息可自行修改。

//
// Created by xw on 2023/7/10.
//

#include <stdio.h>
#include <openssl/x509.h>
#include <openssl/pem.h>
#include "parseCertTest.h"
void printASN1Time(ASN1_TIME* Time)
{
    //BIO是一种用于进行输入/输出操作的抽象类型。它提供了一种统一的接口,可用于在不同的数据源和目标之间进行读写操作。
    BIO* bio = BIO_new(BIO_s_mem());
    if (bio == NULL) {
        printf("Failed to create BIO\n");
        return;
    }
    if (ASN1_TIME_print(bio, Time) <= 0) {
        printf("Failed to print ASN1_TIME\n");
        BIO_free(bio);
        return;
    }
    char buf[1024];
    //从bio对象中读取结果
    int len = BIO_read(bio, buf, sizeof(buf) - 1);
    if (len <= 0) {
        printf("Failed to read BIO\n");
        BIO_free(bio);
        return;
    }
    buf[len] = '\0';
    printf("ASN1_TIME: %s\n", buf);
    BIO_free(bio);
}
void print_public_key_bitstr(const X509 *cert) {
    const ASN1_BIT_STRING *bitstr = X509_get0_pubkey_bitstr(cert);
    if (bitstr == NULL) {
        printf("Failed to get public key bit string\n");
        return;
    }

    printf("Public Key Bit String: ");
    for (int i = 0; i < bitstr->length; i++) {
        //16进制直接输出
        printf("%02X", bitstr->data[i]);
    }
    printf("\n");
}
void printPublicKey(const EVP_PKEY *pubkey)
{
//    BIO *bio = BIO_new_fp(stdout, BIO_NOCLOSE);
    BIO* bio = BIO_new(BIO_s_mem());
    if (bio == NULL) {
        printf("Failed to create BIO\n");
        return;
    }

    if (EVP_PKEY_print_public(bio, pubkey, 0, NULL) != 1) {
        printf("Failed to print public key\n");
    }
    char buf[1024];
    int len = BIO_read(bio, buf, sizeof(buf) - 1);
    if (len <= 0) {
        printf("Failed to read BIO\n");
        BIO_free(bio);
        return;
    }else{
        buf[len] = '\0';
        //公钥的算法名称、参数和具体的公钥值(证书显示中除开前面10字节的数据)
        printf("ASN1_TIME: %s\n", buf);
    }
    BIO_free(bio);
}
int verifyCertificate(X509* cert)
{
    EVP_PKEY *pubkey = X509_get_pubkey(cert);
    printPublicKey(pubkey);
    print_public_key_bitstr(cert);
    //创建存储和管理证书的数据结构
    X509_STORE* store = X509_STORE_new();
    if (store == NULL) {
        printf("Failed to create X509_STORE\n");
        return 0;
    }
    //上下文对象 X509_STORE_CTX 证书 验证链 CRL等
    X509_STORE_CTX* ctx = X509_STORE_CTX_new();
    if (ctx == NULL) {
        printf("Failed to create X509_STORE_CTX\n");
        X509_STORE_free(store);
        return 0;
    }
    //证书添加到X509_STORE对象中
    if (X509_STORE_add_cert(store, cert) != 1) {
        printf("Failed to add certificate to X509_STORE\n");
        X509_STORE_CTX_free(ctx);
        X509_STORE_free(store);
        return 0;
    }
    //初始化ctx对象,传入证书和验证链
    if (X509_STORE_CTX_init(ctx, store, cert, NULL) != 1) {
        printf("Failed to initialize X509_STORE_CTX\n");
        X509_STORE_CTX_free(ctx);
        X509_STORE_free(store);
        return 0;
    }
    //验证合法性
    int result = X509_verify_cert(ctx);
    if (result != 1) {
        printf("Certificate verification failed\n");
        X509_STORE_CTX_free(ctx);
        X509_STORE_free(store);
        return 0;
    }

    X509_STORE_CTX_free(ctx);
    X509_STORE_free(store);

    return 1;
}

int main()
{
    int res = 0;
    setbuf(stdout, NULL);
    FILE *cert_file = fopen("cert.txt", "r");
    X509 *cert = PEM_read_X509(cert_file, NULL, NULL, NULL);
    fclose(cert_file);
//颁发者信息
    X509_NAME *issuer = X509_get_issuer_name(cert);
    //证书拥有者信息
    X509_NAME *subject = X509_get_subject_name(cert);
    ASN1_INTEGER *serial = X509_get_serialNumber(cert);
//起始时间和结束时间
    ASN1_TIME *not_before = X509_get_notBefore(cert);
    ASN1_TIME *not_after = X509_get_notAfter(cert);

    printASN1Time(not_before);
    printASN1Time(not_after);
//信息转换为可打印字符串
    printf("Issuer: %s\n", X509_NAME_oneline(issuer, NULL, 0));
    printf("Subject: %s\n", X509_NAME_oneline(subject, NULL, 0));

    res = verifyCertificate(cert);
// 释放资源
    X509_free(cert);
}
Haetae
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openssl以及证书详解
qq_41768644的博客
07-16 2173
【代码】openssl以及证书详解。
openssl证书验证
热门推荐
Netfilter
04-01 1万+
使用openssl验证证书链可以用以下命令:debian:/home/zhaoya/openssl#openssl verify -CAfile ROOT_CERT USER_CERT其中的ROOT_CERT可以包含很多证书,可以用cat命令将多级的ca证书合并到一个文件里面,然后程序启动以后会加载ROOT_CERT,ROOT_CERT会在内存中形成一个堆栈结构,各个证书的顺序和文件里面的
使用OpenSSL工具验证证书
最新发布
Htojk的博客
03-28 780
验证证书文件的原理是基于公钥加密技术。证书中包含公钥,私钥由证书所有者保留。当客户端与服务器建立安全连接时,服务器会将证书发送给客户端,客户端使用包含在证书中的公钥来验证服务器身份,并加密通信数据。如果证书有效且签名有效,则客户端可以相信服务器的身份,建立安全通信。:SSL 证书通常包含公钥、证书所有者的信息、证书颁发机构(Certificate Authority, CA)的签名以及证书的有效期等信息。以上命令将检查证书的签名链是否可以追溯到根证书,并给出验证结果。
OpenSSL 解析P12格式证书文件
04-06
NULL 博文链接:https://jacky-dai.iteye.com/blog/1545241
ssl.tar.gz_python openssl_证书_证书验证
09-24
openssl实现客户端与服务器证书创建生成并验证
基于openssl函数完成CA对用户证书的认证
tutu_hu的博客
06-04 1503
本文先介绍了由openssl提供的对X509证书操作的相关函数,后基于这些函数完成CA对颁发的user证书验证,同时会集合CRL吊销列表的查询。
openssl 常用命令
liudong200618的博客
05-08 1663
openssl常用命令
openssl校验证书
m0_46665077的博客
04-22 4587
openssl校验证书到期时间 openssl校验证书文件(crt/cer文件)与密钥文件(key文件)是否匹配
openssl 证书验证
swj9099的博客
08-05 5992
本节中我们快速浏览一下证书验证的主干代码。读者可以采用上节中生成的VC工程进行验证。 下面列出关键部分代码,为方便阅读,仅保留与证书验证强相关的代码,去掉了诸如变量定义、错误处理、资源释放等非主要代码,并修改了排版格式。 // 初始入口为 apps\verify.c 中的 MAIN 函数 // 为利于代码阅读,下面尝试将相关代码放在一起(采用函数调用栈的形式,被调用函数的代码排版缩进...
使用OpenSSL生成/签发证书步骤
xiejianweifdd的博客
08-27 3420
openssl 证书 自签名 私有CA
openssl生成证书
12-27
使用openssl生成证书,有详细的步骤说明,亲测可用。还有一些关于证书的一些常用转换操作介绍
openssl 解析证书
05-30
使用openssl 解析 证书信息。 主要功能获得颁发者,颁发给,证书有效期等信息。
openssl - 数字证书的编程解析
萧海的博客
05-12 531
原文链接: http://www.cangfengzhe.com/wangluoanquan/37.html 这篇文章主要介绍PKI公钥体系中非常核心元素——数字证书的编程解析。在SSL,SET等安全协议通信时,数字证书用于通信双方进行身份认证,并且依靠数字证书和非对称加密算法加密传输数据,或者根据数字证书协商通信双方的共享密钥。所以,用户想要开发自己的应用,实现身份认证,必须对数字证书进行解析。根据解析结果,符合一定条件的终端用户,才可以接入。 1、证书格式介绍 现有的数字证书大都采用了X.509规范,主
学习jQuery框架获取数据的几种基础方式
weixin_44540178的博客
04-08 730
开发工具与关键技术:Visual Studio jQuery 作者:李明润 撰写时间:2019年4月8日 jQuery框架是JavaScript的一个函数,JavaScript的功能jQuery大多都包含,并且jQuery包含的功能更多更丰富。 也就是说jQuery其实就是对JavaScript的功能进行封装,使代码更简洁,使用更方便,更容易理解,可以大大提高效率, 在掌握jQuery的同时...
数字证书的编程解析
阳光梦的专栏
04-26 5232
这篇文章主要介绍PKI公钥体系中非常核心元素——数字证书的编程解析。在SSL,SET等安全协议通信时,数字证书用于通信双方进行身份认证,并且依靠数字证书和非对称加密算法加密传输数据,或者根据数字证书协商通信双方的共享密钥。所以,用户想要开发自己的应用,实现身份认证,必须对数字证书进行解析。根据解析结果,符合一定条件的终端用户,才可以接入。 1、证书格式介绍 现有的数字证书大都采用了X.509规
史上最全数字证书openssl命令详解
humanhaunt的博客
10-27 1408
数字证书相关文件说明 PEM,DER X509证书标准定义的两种编码格式 PEM 纯文本文件格式,以-----BEGIN xxx-----开头,以----END xxx—结尾 可以通过文本编辑器打开查看文本结构,如果要查看原始数字证书的信息需要命令:openssl x509 -in xxx.pem -text -noout DER 二进制文件格式,可以通过命令工具提取其中的信息或进行编码转换: 命令:openssl x509 -in xxx.der -inform der -text -noout ..
C语言使用openssl解析TLS报文(SNI和证书)
Chuancey的博客
02-15 7058
项目中需要对TLS报文中SNI和证书部分进行过滤,并且之前并没有接触过这方面的内容,为了解决这一需求,期间学习了不少知识,也走了不少弯路。就写下这篇博客记录分享一下。项目背景:项目是一个类似防火墙的软件,可以过滤特定的TLS流量。实现原理就是通过对TLS数据包流量进行解析,得到想要过滤的字段数据,根据过滤规则决定是否放行该TLS流量。本次需要过滤的TLS数据包主要针对SNI和证书,TLS报文的版本为1.2。使用版本为1.0.2k的openssl进行C编程。
OpenSSL从内存中加载密钥、证书证书链、根证书
C语言,网络安全,嵌入式
04-11 1382
众所周知,使用OpenSSL建立连接,需要加载密钥、证书证书链、根证书等,这些接口从文件中加载很方便,但有些使用场景使我们必须从内存加载,以下是保姆级介绍OpenSSL从内存中加载密钥、证书证书链、根证书的具体实现方法。
openssl 解析证书
12-01
以下是使用openssl解析证书的方法: 1. 查看证书信息 ```shell openssl x509 -noout -text -in cert.crt ``` 其中,cert.crt为证书文件名,该命令可以查看证书的详细信息,包括证书版本、序列号、颁发者、有效期、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值