将SM2根证书预置到chromium中

于 2023-08-16 18:09:23 发布
阅读量722 收藏 1
点赞数
文章标签: ssl 网络协议 网络 GmSSL chromium cef 国密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scribbler/article/details/132324951
版权

最近花了很多精力在做chromium的GmSSL适配,协议和算法都已经完成,这篇文章是关于将SM2根证书预置到chromium中

我的开发测试环境是macos12.4,从chromium的代码和文档中得知证书获取和校验都是通过操作系统以及native api接口完成,如果需要国密证书验证和校验成功,需要对chromium做适配和开发,分为2步骤走:

1、chromium内置根证书

2、chromium调整验证流程

一、前提

1、在开始之前,您需要对开源项目chromium以及密码算法、安全通讯协议有一定的了解

2、你已经完成BoringSSL的密码算法、安全通讯协议的适配

二、国密根证书内置

1、下载根证书

这里我使用的是沃通和中国金融根证书

沃通

沃通SM2中级根证书-沃通WoTrus SSL证书!沃通CA SM2顶级根证书已经签发了如下中级根证书,用于颁发各种认证级别的SSL证书、客户端证书和时间戳证书。https://www.wotrus.com/root/SM2_intermediateca.htm

下载国密SM2根证书即可

 

中国金融

CPS_数字证书服务协议_证书体验平台_证书下载平台_证书链下载_申请表下载_全球服务器证书_相关下载_中国金融认证中心中国金融认证中心(CFCA)为客户提供专业的CPS、证书体验、证书下载、证书链下载、申请表下载、全球服务器证书、反欺诈全球服务器证书、证书服务协议、证书安全提示等方面综合、全面、立体的资料下载服务。https://www.cfca.com.cn/zhengshuzizhu/

在下载专区中下载生成证书链SM2

 

2、将证书转成pem格式

openssl x509 -in WoTrus-SM2.crt -out WoTrus-SM2.pem
openssl x509 -in CFCA_CS_SM2_CA.cer -out CFCA_CS_SM2_CA.pem

3、获取指纹签名的sha256值

openssl x509 -fingerprint -sha256 -in WoTrus-SM2.pem
sha256 Fingerprint=B2:CF:D0:68:B4:D7:FC:A1:21:07:AF:41:65:CC:DA:61:34:38:DD:BD:90:16:9F:5F:4B:11:1C:AF:A2:21:D4:35

去掉多余的信息得到值:B2CFD068B4D7FCA12107AF4165CCDA613438DDBD90169F5F4B111CAFA221D435

将WoTrus-SM2.pem改名为B2CFD068B4D7FCA12107AF4165CCDA613438DDBD90169F5F4B111CAFA221D435.pem

openssl x509 -fingerprint -sha256 -in CFCA_CS_SM2_CA.pem
sha256 Fingerprint=5F:C0:9A:7D:B2:B9:1E:87:6C:BE:A8:70:60:A9:FE:DF:02:91:69:81:50:97:78:53:BC:4B:5A:A6:54:98:9F:BD

去掉多余的信息得到值:5FC09A7DB2B91E876CBEA87060A9FEDF0291698150977853BC4B5AA654989FBD

将CFCA_CS_SM2_CA.pem改名为B2CFD068B4D7FCA12107AF4165CCDA613438DDBD90169F5F4B111CAFA221D435.pem

三、chromium代码调整

主要调整的代码部分是net网络模块, 主要加上 chrome_root_store_supported支持

1、net/features.gni

chrome_root_store_supported默认只支持windows,调整下支持macos, 将

chrome_root_store_supported = is_win

改为

chrome_root_store_supported = is_win || is_mac

2、将pem文件放入指定位置

将B2CFD068B4D7FCA12107AF4165CCDA613438DDBD90169F5F4B111CAFA221D435.pem、B2CFD068B4D7FCA12107AF4165CCDA613438DDBD90169F5F4B111CAFA221D435.pem放到net/data/ssl/chrome_root_store/store/certs下

3、修改net/data/ssl/chrome_root_store/store/root_store.textproto文件

路径就是刚才放置的路径

# Network WoTrus-SM2
trust_anchors {
  filename: "B2CFD068B4D7FCA12107AF4165CCDA613438DDBD90169F5F4B111CAFA221D435.pem"
}


# Network CFCA_CS_SM2_CA
trust_anchors {
  filename: "5FC09A7DB2B91E876CBEA87060A9FEDF0291698150977853BC4B5AA654989FBD.pem"
}

4、修gn工程文件net/data/ssl/chrome_root_store/BUILD.gn文件

将pem文件添加到build.gn中,编译后会生成chrome-root-store-inc.cc中间文件

# Generate C++ include file for the Chrome root store.
compiled_action("gen_root_store_inc") {

  tool = "//net/tools/root_store_tool:root_store_tool"


  # It'd be really nice to list an input as "store/certs/*", but it doesn't seem
  # to work. So we list them all out.
  inputs = [
    "store/root_store.textproto",
    "store/certs/02ed0eb28c14da45165c566791700d6451d7fb56f0b2ab1d3b8eb070e56edff5.pem",
    "store/certs/0376ab1d54c5f9803ce4b2e201a0ee7eef7b57b636e8a93c9b8d4860c96f5fa7.pem",
    ….
    "store/certs/fd73dad31c644ff1b43bef0ccdda96710b9cd9875eca7e31707af3e96d522bbd.pem",
    "store/certs/B2CFD068B4D7FCA12107AF4165CCDA613438DDBD90169F5F4B111CAFA221D435.pem",
    "store/certs/5FC09A7DB2B91E876CBEA87060A9FEDF0291698150977853BC4B5AA654989FBD.pem",
  ]
  outputs = [ "${target_gen_dir}/chrome-root-store-inc.cc" ]
  args = [
    "--root-store-dir=" + rebase_path("store", root_build_dir),
    "--write-cpp=" + rebase_path("${target_gen_dir}/chrome-root-store-inc.cc",

                                 root_build_dir),

  ]
}

自此静态证书部分添加完毕

下面对代码修改,以支持证书链的校验

5、调整证书信任存储代码

1) net/cert/internal/system_trust_store.cc

默认MACOS只支持从操作系统中获取证书并校验,这里改成浏览器内部预置证书校验

找到MACOS支持部分

修改下面代码

std::unique_ptr<SystemTrustStore> CreateSslSystemTrustStoreChromeRoot() {
  return std::make_unique<DummySystemTrustStore>();
}

#if BUILDFLAG(CHROME_ROOT_STORE_SUPPORTED)
std::unique_ptr<SystemTrustStore> CreateSslSystemTrustStoreChromeRoot() {
  return std::make_unique<SystemTrustStoreChrome>(
      std::make_unique<TrustStoreChrome>(), std::make_unique<TrustStoreMac>(kSecPolicyAppleSSL, TrustStoreMac::TrustImplType::kDomainCache, 512));
}

#else

std::unique_ptr<SystemTrustStore> CreateSslSystemTrustStoreChromeRoot() {
  return std::make_unique<DummySystemTrustStore>();
}

#endif

2) net/cert/cert_verify_proc.cc

增加BUILTIN_CERT_VERIFIER_FEATURE_SUPPORTED支持

修改静态方法

scoped_refptr<CertVerifyProc> CertVerifyProc::CreateBuiltinVerifyProc(
    scoped_refptr<CertNetFetcher> cert_net_fetcher) {
  return CreateCertVerifyProcBuiltin(std::move(cert_net_fetcher),
                                     CreateSslSystemTrustStore());
}

#if BUILDFLAG(CHROME_ROOT_STORE_SUPPORTED)
// static
scoped_refptr<CertVerifyProc> CertVerifyProc::CreateBuiltinVerifyProc(
    scoped_refptr<CertNetFetcher> cert_net_fetcher) {
  return CreateCertVerifyProcBuiltin(std::move(cert_net_fetcher),
                                     CreateSslSystemTrustStoreChromeRoot());
}
#else
// static
scoped_refptr<CertVerifyProc> CertVerifyProc::CreateBuiltinVerifyProc(
    scoped_refptr<CertNetFetcher> cert_net_fetcher) {
  return CreateCertVerifyProcBuiltin(std::move(cert_net_fetcher),
                                     CreateSslSystemTrustStore());
}
#endif

3) services/cert_verifier/cert_verifier_creation.cc

修改证书校验创建流程

scoped_refptr<net::CertVerifyProc> CreateOldDefaultWithoutCaching(
    scoped_refptr<net::CertNetFetcher> cert_net_fetcher) {
  scoped_refptr<net::CertVerifyProc> verify_proc;
#if defined(OS_FUCHSIA) || defined(OS_LINUX) || defined(OS_CHROMEOS)
  verify_proc =
      net::CertVerifyProc::CreateBuiltinVerifyProc(std::move(cert_net_fetcher));
#else
  verify_proc =
      net::CertVerifyProc::CreateSystemVerifyProc(std::move(cert_net_fetcher));
#endif
  return verify_proc;
}

scoped_refptr<net::CertVerifyProc> CreateOldDefaultWithoutCaching(
    scoped_refptr<net::CertNetFetcher> cert_net_fetcher) {
  scoped_refptr<net::CertVerifyProc> verify_proc;
#if defined(OS_FUCHSIA) || defined(OS_LINUX) || defined(OS_CHROMEOS)
  verify_proc =
      net::CertVerifyProc::CreateBuiltinVerifyProc(std::move(cert_net_fetcher));
#elif BUILDFLAG(BUILTIN_CERT_VERIFIER_FEATURE_SUPPORTED)
  // Create by david.chin on 07/26/2023
  if (base::FeatureList::IsEnabled(net::features::kCertVerifierBuiltinFeature)) {
    verify_proc =
       net::CertVerifyProc::CreateBuiltinVerifyProc(std::move(cert_net_fetcher));
  } else {
    verify_proc =
       net::CertVerifyProc::CreateSystemVerifyProc(std::move(cert_net_fetcher));
  }
#else
  verify_proc =
      net::CertVerifyProc::CreateSystemVerifyProc(std::move(cert_net_fetcher));
#endif
  return verify_proc;
}

6、编译chromium,等待数小时

效果图

 

沃通测试网站

https://sm2only.ovssl.cn/

 

中国银行(只支持SM2)

https://ebssec.boc.cn/

 

四、写在最后

当然,国密的适配还有不少工作要做,这里只是做了macos的国密根证书内置,后续包括windows、linux、国产操作系统等适配会持续进行。

scribbler
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
SM2软证书签发.zip
10-08
[.NET]基于BouncyCastle库生成国密SM2证书,支持SM2证书导出成pfx格式。通过CSR签发证书等.
国密浏览器实现方案
w277608109的专栏
08-02 3778
Chromium源码集成国标VPN协议,实现国密通信。实现方式可以通过白名单放行或者自适应TLS和国密VPN协议,对两种实现方式做简单描述: 白名单放行-通过配置国密URL地址来适配国密VPN协议,只有在配置在白名单的网址才能使用过VPN通道 自适应协议-根据请求的网址,内核内部自动处理,响应相关的TLS或国密VPN协议 上述两种方式需要对BoringSSL做修改,支持国密算法和国标VPN...
quic编译和运行
qq_35309423的博客
04-28 1904
git clone https://github.com/google/proto-quic.git cd proto-quic export PATH=$PATH:`pwd`/depot_tools ./proto_quic_tools/sync.sh 编译: cd src gn gen out/Default && ninja -C out/Default quic_cli
权威认证!腾讯云数据安全台入选工信部商用密码典型应用方案
qcloud_security的博客
04-12 718
基于融合架构体系及密码应用间件,实现云计算架构的核心运算环境、数据存储、数据库以及密钥等关键数据的隔离保护,并提供认证、终端安全、网络与通信安全、数据存储安全、管理配置、方案咨询等商用密码服务。未来,腾讯安全将基于二十多年的安全技术积累,继续深入挖掘商用密码技术的应用,提供丰富的安全产品线和数据安全能力,构建数据生命周期管理和全面安全体系架构,为企业打造全方位、多场景、全链路数据安全保障。近日,工业和信息化部、国家密码管理局发布了《关于公布工业和信息化领域商用密码典型应用方案名单的通知》,
Hyperleder Fabric国密改造&一键部署工具&区块链网络修改工具
cway的博客
12-13 1万+
fabric 区块链国密改造,java api网关,部署工具
http://91.3p7.us/index.php,bee/new.go at b412890c3385694a5a0034d07c703f1eabd3a22e · ws6/bee · GitHub...
热门推荐
weixin_42348783的博客
03-16 26万+
background-image: url('data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAMgAAADICAYAAACtWK6eAAAgAElEQVR42uy9d5Rd13Xm+TvnxhfrVS5UIRSIQEIAQUpMIKlEylGWZblbTi27veyWJXcvjZqW7TVrrPG0Q0vyTKtHtnuWou0ZS1Y7yDOyksd...
阿里云推送证书验证失败
邪人君子的博客
04-20 1159
使用阿里云推送或者是用到推送的模块时,通常我们都需要上传我们的推送证书,包括:开发环境的推送证书和生产环境的推送证书。 有时候我们上传生产证书的时候,会出现如下错误: 但是我们确定我们的推送证书配置没有问题,此时,你的问题可能是导出文件出错了: ...
基于安卓系统的SM4-SM2/3加解密软件开发报告
qq_44465615的博客
01-06 3207
目 录 第一章需求分析 1.1软件功能需求 1.2平台需求 1.3人员分工 第二章概要设计 2.1 软件开发平台 2.2 软件基本流程 2.3 UML图 第三章 程序详细设计 3.1 程序接口设计 3.2 SM2、3算法设计 3.3 SM4算法设计 3.4 UI设计 第四章 调试分析 4.1 出现问题及解决方案 第五章 结果测试 5.1 SM2\3测试结果 5.2 SM4 测试结果 5.3 软件整体测试 第六章总结与感想 6.1 总结与感想 6.2 未来展望 第七章附录 7.1 各部分代码及其注释 第一章
bae7088d064a7707d735e9dcb7a7f092
yz2421145的博客
11-16 6万+
XCL:iVBORw0KGgoAAAANSUhEUgAAA9kAAAFoCAIAAADM369EAAAAGXRFWHRTb2Z0d2FyZQBBZG9iZSBJbWFnZVJlYWR5ccllPAAAA2ZpVFh0WE1MOmNvbS5hZG9iZS54bXAAAAAAADw/eHBhY2tldCBiZWdpbj0i77u/IiBpZD0iVzVNME1wQ2VoaUh6cmVTek5UY3pr...
sm2国密算法的纯c语言版本,使用于单片机平台(静态内存分配)
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
09-06 1万+
终于搞定了sm2算法在smt32单片机上的移植。 之前的动态内存分配,在上面总是莫名其妙的崩。不知道堆和栈空间该改多大合适。且总共64K的内存,太受限了。 几次想放弃,最后还是坚持了一下,终于搞定啦! 看miracl库官方说明文档,是使用了内存吃紧的设备的。可以使用静态内存分配。但是文档上介绍的太简单了,一笔带过。 还得自己调试这摸索。 文档描述: 受限环境 在版本5的,有一个对...
cert_国密sm2证书_sm2证书_SM2证书_
09-30
生成的国密sm2证书,gmssl指令可以读取
SM2证书手动验证工具
最新发布
12-14
这是SM2证书手动验证工具,用户可以通过ASN1查看器截取待验证证书的基本证书域、签名值域并对签名值域的信息(该工具能够自行修剪TLV不必要的内容),并验证其SM2签名的正确性,从而实现数字证书合规性检查。
国密SM2/RSA证书签发工具
11-16
国密SM2、RSA证书签发工具(CA),https://blog.csdn.net/zweib730/article/details/50972837#comments
DoubleCA版本的SM2数字证书样例代码
03-21
DoubleCA数字证书的样例代码,可实现SM2数字证书的PKCS10证书请求,PKCS12带私钥的数字证书格式,和P7B证书链。
使用GOOGLE的QUIC
好记性不如写博客!
08-07 1万+
QUIC是Google新开发的一个基于UDP的协议,它提供了像TCP一样的传输可靠性保证,可以实现数据传输的0-RTT延迟,灵活的设计使我们可以对它的拥塞控制及流量控制做更多的定制,它还提供了传输的安全性保障,以及像HTTP/2一样的应用数据二进制分帧传输。 而QUIC协议最最吸引人的特性有两点,一是对队首阻塞问题的解决更为彻底。基于TCP的HTTP/2,尽管从逻辑上来说,不同的流之间相互独立,
深入 HTTP/3(2)|不那么 Boring 的 SSL
金融级分布式架构
05-24 289
文|曾柯(花名:毅丝)蚂蚁集团高级工程师负责蚂蚁集团的接入层建设工作主要方向为高性能安全网络协议的设计及优化本文10924字 阅读 20分钟PART. 1引言从前一篇文章《深入 HTTP/3(1)|从 QUIC 链接的建立与关闭看协议的演进》对于 QUIC 的浅述我们了解到,QUIC 的优化很大程度上是一种基于 TLS 流程的优化,由此也可见 TLS 对于 QU...
Netty集成国密开源基础密码库Tongsuo
x1075339587的博客
05-05 1万+
本次完成了Tongsuo TLCP协议的四种国密套件;X86架构的编译。TLSv1.3的TLS_SM4_GCM_SM3套件的支持。ARM架构、PPC架构、Windows的编译。mac系统一般服务器环境没有应用场景,有能力的小伙伴可以帮忙测试一下。时代的车轮在加速的运转,在有限的视野里也要不断地追赶。铜锁开源密码库 · 语雀铜锁/Tongsuo(原BabaSSL)是一个提供现代...https://www.yuque.com/tsdoc。
opensslSM2、SM3、SM4使用实例
啊渊的专栏
11-19 3620
SM4:(原名SMS4.0)是华人民共和国政府采用的一种分组密码标准,由国家密码管理局于2012年3月21日发布。相关标准为“GM/T 0002-2012《是华人民共和国政府采用的一种密码散列函数标准,由国家密码管理局于2010年12月17日发布。相关标准为“GM/T 0004-2012 《分组密码算法》(原SMS4分组密码算法)”。sm2keypair.pem:带签名私钥。msg.dat : 代签名数据。
SM2椭圆曲线公钥密码算法--密钥对与数字签名
zhuwade的博客
05-12 1万+
SM2算法全称是SM2椭圆曲线公钥密码算法(SM是商用密码的拼音缩写),是一种基于“椭圆曲线”的密码ECC(Elliptic Curve Cryptography)。2016年,SM2成为国国家密码标准。 在商用密码体系SM2主要用于替换RSA加密算法。主要介绍SM2国密密钥对与数字签名算法原理。
SM2证书导入JDK
06-03
SM2证书导入JDK,需要执行以下步骤: 1. 将SM2证书转换为PKCS12格式。可以使用openssl工具来完成: ```openssl pkcs12 -export -in sm2_cert.crt -inkey sm2_key.key -out sm2_cert.p12``` 其sm2_cert.crt为SM2证书文件,sm2_key.key为SM2私钥文件。 2. 将生成的PKCS12格式证书导入到JDK的证书。可以使用keytool工具来完成: ```keytool -importkeystore -destkeystore $JAVA_HOME/jre/lib/security/cacerts -srckeystore sm2_cert.p12 -srcstoretype pkcs12``` 其,$JAVA_HOME为JDK安装路径。 3. 在导入证书时,可能会遇到证书不受信任的问题。此时,需要手动将证书添加到JDK的受信任证书列表,可以使用keytool工具来完成: ```keytool -import -alias sm2_cert -file sm2_cert.crt -keystore $JAVA_HOME/jre/lib/security/cacerts``` 其sm2_cert为证书别名,sm2_cert.crt为证书文件,$JAVA_HOME为JDK安装路径。在执行该命令时,需要输入JDK证书库的密码,默认密码为"changeit"。 完成上述步骤后,SM2证书就成功导入到了JDK

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值