X.509证书校验

最新推荐文章于 2024-07-21 17:52:34 发布
最新推荐文章于 2024-07-21 17:52:34 发布
阅读量2.9k 收藏 2
点赞数
分类专栏: OpenSSL 文章标签: ssl 终端 file 工作

 

X.509证书校验

这里讨论openssl中如何应用CRLs和来自证书体系的其他证书来进行证书校验。为此需要使用X.509包的功能函数。SSL协议实现已经处理了很多这里将要讨论的东西,即使如此,一些工作还是需要我们亲历亲为,特别是当我们希望在证书校验过程中使用CRLs的校验,大部分情况我们确实应该如此。


 

通常讲,证书可以通过其他证书体系一系列的证书来验证是合法的,比如CA证书和CRLsOpenssl使用X509_STORE对象来表示证书和废止证书的集合来完成此校验目的。除此之外,Openssl使用类型X509_STORE _CTX承载实际校验证书用到的数据。为了校验证书,我们首先创建一个X509_STORE,并且包含了所有可用证书和废止证书链信息。当需要校验终端证书时,我们将创建一个X509_STORE_CTX 来进行实际地校验。


 

与证书商店(X509_STORE)及其相关的上下文同样重要的一个对象是X509_LOOKUP_METHOD。此类型对象代表了查找证书或者废止证书的通用方法。比如X509_LOOKUP_file函数返回方法是专用于查找单个文件内证书相关的对象,而X509_LOOKUP_hash_dir函数返回方法用于在正确设置的Openssl CA目录中查找对象。X509_LOOKUP_METHOND对于创建X509_LOOKUP对象来说非常重要。这些对象聚集了其内部可以访问的证书集合。比如有一个证书目录,我们可以创建来自X509_STOREX509_LOOKUP对象,并且返回值为X509_LOOKUP_hash_dir;然后这个X509_LOOKUP对象可以赋值给一个目录,这样X509_STORE 对象就可以访问由lookup聚集起来的所有证书和CRLs证书了。


 

简单回顾:一个X509_STORE 对象包含了X509_LOOKUP对象(多份),而X509_LOOKUP又是基于X509_LOOKUP_METHOND方法之上的。这就是证书商店可以访问证书和CRL数据了。因此store可以被用来创建X509_STORE_CTX 来执行验证操作了。

 

「已注销」
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
X.509证书的介绍
baron-周贺贺-代码改变世界ctw
10-15 3661
1、X.509简介 X.509是密码学里公钥证书的格式标准。X.509证书已应用在包括TLS/SSL在内的众多网络协议里,同时它也用在很多非在线应用场景里,比如电子签名服务。X.509证书里含有公钥、身份信息(比如网络主机名,组织的名称或个体名称等)和签名信息(可以是证书签发机构CA的签名,也可以是自签名)。 X.509还附带了证书吊销列表和用于从最终对证书进行签名的证书签发机构直到最终可信点为止的证书合法性验证算法。X.509是ITU-T标准化部门基于他们之前的ASN.1定义的一套证书标准。 2、证书组成
mbedtls | 10 - 数字证书及 X.509 证书标准
Mculover666的博客(嵌入式)
10-04 6037
mbedtls系列文章 mbedtls | 01 - 移植mbedtls库到STM32的两种方法 mbedtls | 02 - 伪随机数生成器(ctr_drbg)的配置与使用 mbedtls | 03 - 单向散列算法的配置与使用(MD5、SHA1、SHA256、SHA512) mbedtls | 04 - 对称加密算法的配置与使用(AES算法) mbedtls | 05 - 消息认证码的配置与使用(HMAC算法、GCM算法) mbedtls | 06 - 非对称加密算法的配置与使用(RSA算法) mbe
x509 java_Java X509证书解析和验证
weixin_35725147的博客
02-15 2123
我试图通过几个步骤处理X509证书,并遇到几个问题.我是新来的JCE,所以我不完全是最新的一切.我们希望能够根据不同的编码(PEM,DER和PCKS7)来解析几个不同的X509证书.我使用FireFox(证书包括链)从PEC和PCKS7格式从https://belgium.be导出了相同的证书.我已经离开了几条线,这些问题不是必需的public List parse(FileInputStream...
【密码学】SSL/TLS的X.509证书
Hali_Botebie的博客
06-16 1198
X.509证书包含三个文件:key,csr,crt key是服务器上的私钥文件,用于对发送给客户端数据的加密,以及对从客户端接收到数据的解密 csr是证书签名请求文件,用于提交给证书颁发机构(CA)对证书签名 crt是由证书颁发机构(CA)签名后的证书,或者是开发者自签名的证书,包含证书持有人的信息,持有人的公钥,以及签署者的签名等信息 备注:在密码学中,X.509是一个标准,规范了公开秘钥认证、证书吊销列表、授权凭证、凭证路径验证算法等。 创建自签名证书的步骤 注意:以下步骤仅用于配置内部使用或测试需要的
X509TrustManager一定能起作用么?
最新发布
cj19852005的专栏
07-21 341
https证书验证疑难问题排查
x509
hongyelaile的博客
03-19 303
Certificates In the X.509 system, a certification authority issues a certificate binding a public key to a particular distinguished name in the X.500 tradition, or to an alternative name such as an ...
基于X.509证书SSL协议的身份认证过程实现
weixin_34217773的博客
11-23 146
上周帮一个童鞋做一个数字认证的实验,要求是编程实现一个基于X.509证书认证的过程,唉!可怜我那点薄弱的计算机网络安全的知识啊!只得恶补一下了。 首先来看看什么是X.509。所谓X.509其实是一种非常通用的证书,什么是证书?唉!这么说吧!当两个人需要进行远程通信而又不想让第三个人知道时就必须建立一种安全措施,因为看不到对方的脸,又不能通过电话直接询问对方,就得想点别的办法...
X.509证书详解
抽象的螺旋
01-03 1982
X.509证书
x.509证书举例
dantangfan的专栏
10-26 1639
X.509 v3证书格式   Certificate证书   Version 版本   Serial Number 序列号   Algorithm ID 算法标识   Issuer 颁发者   Validity 有效期     Not Before 有效起始日期     Not After 有效终止日期   Subject 使用者   S
一文读懂X.509证书
fengrenfenzd的博客
11-24 1184
1>第一行 0x30 0x 82,0x 30转换成2进制00110000,表示universal,对照表原始数据类型是SEQUENCE,0x 82为长度,转换为二进制10000010,第8位为1表示后面跟的长度,最低两位为2表示后面跟的长度为2位,证书签名是对证书主体进行签名,签名算法有SHA1,SHA256,MD2,MD5,SM2等生成HASH值,采用PKCS1,OAEP方式填充或不填充,再选择相应的非对称加密算法,如RSA,SM2,P256,X25519等进行签名加密。这个数字的最高有效为第5位。
X.509证书与java
qq_41644069的博客
11-14 7729
1. X.509证书简介 X.509是密码学里公钥证书的格式标准。X.509证书己应用在包括TLS/SSL(WWW万维网安全浏览的基石)在内的众多Internet协议里。同时它也用在很多非在线应用场景里,比如电子签名服务。X.509证书里含有公钥、身份信息(比如网络主机名,组织的名称或个体名称等)和签名信息(可以是证书签发机构CA的签名,也可以是自签名)。对于一份经由可信的证书签发机构签名或者可以通过其它方式验证的证书证书的拥有者就可以用证书及相应的私钥来创建安全的通信,对文档进行数字签名。-百度百科
密码学系列之:PKI的证书格式表示X.509
qq_45562973的博客
06-23 309
目录* 简介在PKI(public key infrastructure)公钥设施基础体系中,所有的一切操作都是围绕着证书和密钥的,它提供了创建、管理、分发、使用、存储和撤销数字证书以及管理公钥加密所需的一组角色、策略、硬件、软件和程序。有了密钥,就可以根据密钥制作证书了。要想证书可以被广泛的使用,一个通用的标准肯定是少不了的,在PKI体系中,这个证书的标准就叫做X.509。X.509 标准定义了公钥证书最常用的格式。证书中最主要就是公钥信息,从证书中提取公钥,才能使用公钥去解密发送者使用私钥加密过的数据。
SsX509TrustManager
08-26
android 访问https时 发送请求前 SsX509TrustManager.allowAllSSL();
mbedtls | 嵌入式数字证书及 X.509 证书标准
weixin_50547796的博客
06-04 154
mbed TLS(前身为PolarSSL)是一款开源的、轻量级的加密库,专为嵌入式系统设计。它支持多种加密算法、协议和安全功能,包括数字证书管理。mbed TLS 提供了对 X.509 标准的完整支持,使开发人员能够生成、解析和验证数字证书。数字证书是用于认证和加密通信的一种电子凭证。它包含了一个实体(通常是一个人或组织)的公钥和相关信息,由证书颁发机构(CA)签名以确保证书的真实性。X.509 是一种广泛使用的证书格式标准,定义了证书的结构和内容。
X509 证书详解
热门推荐
blue0bird的专栏
12-01 2万+
X509 证书详解 1 Certificates 1-1 Structure of a Certificate 1-2 Extensions informing a specific usage of a certficate 1-3 Certificate filename extensions 2 Certificate chains and cross-certifica
X509证书详解
weixin_38451161的博客
08-23 2万+
本文源于两篇英文文档,将其合二为一,翻译过程参考了网上的其它翻译以求更加准确,在此对这些翻译文档的作者表示感谢! 文中介绍的OpenSSL版本较老,与现有的版本有很多不符之处,但万变不离其宗,核心原理还是很有参考价值的。 1)证书 X.509标准是密码学里公钥证书的格式标准。X.509 证书己应用在包括TLS/SSL(WWW万维网安全浏览的基石)在内的众多 Internet协议里,同时它也有很多非在线的应用场景,比如电子签名服务。X.509证书含有公钥和标识(主机名、组织或个人),并由证书颁发机.
java使用https实现单向客户端认证服务端,x.509证书
a62929367的博客
07-20 3491
java使用https实现单向客户端认证服务端,x.509证书
X509证书信任管理器类的实现及应用
legend_x的专栏
05-20 3240
X509证书信任管理器类的实现及应用   (2011-09-20 10:27:18) 转载▼ 标签:  杂谈   在JSSE中,证书信任管理器类就是实现了接口X509TrustManager的类。我们可以自己实现该接口,让它信任我们指定的证书。   接口X509TrustManager有下述三个公有的方法需要我们实现:
如何解决APP抓包问题【网络安全】_app 防止抓包,997页手淘网络安全面试真题解析火爆全网
2401_83974020的博客
04-20 932
/ 建议不要使用自己实现的X509TrustManager,而是使用默认的X509TrustManager。// 创建一个 TrustManager 仅把 Keystore 中的证书 作为信任的锚点。// 用 TrustManager 初始化一个 SSLContext。
HttpsURLConnection 跳过证书校验
06-11
在Java中,HttpsURLConnection默认会验证服务器的证书,防止中间人攻击。如果你的HTTPS服务器使用的是自签名证书或者其他不受信任的证书,那么HttpsURLConnection会抛出javax.net.ssl.SSLHandshakeException异常。 如果你想跳过证书校验,可以使用以下代码: ```java import java.net.URL; import javax.net.ssl.HttpsURLConnection; import javax.net.ssl.SSLContext; import javax.net.ssl.TrustManager; import javax.net.ssl.X509TrustManager; import java.security.cert.X509Certificate; public class HttpsURLConnectionExample { public static void main(String[] args) throws Exception { String url = "https://www.example.com/api"; URL obj = new URL(url); // 创建一个信任管理器,跳过证书校验 TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() { public void checkClientTrusted(X509Certificate[] chain, String authType) {} public void checkServerTrusted(X509Certificate[] chain, String authType) {} public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[0]; } } }; // 创建一个SSL上下文对象,跳过证书校验 SSLContext sslContext = SSLContext.getInstance("SSL"); sslContext.init(null, trustAllCerts, new java.security.SecureRandom()); // 创建一个HttpsURLConnection对象,使用上面创建的SSL上下文对象 HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.getSocketFactory()); HttpsURLConnection con = (HttpsURLConnection) obj.openConnection(); // 设置请求方法 con.setRequestMethod("GET"); // 打印响应状态码 int responseCode = con.getResponseCode(); System.out.println("Response Code : " + responseCode); // 读取响应内容 BufferedReader in = new BufferedReader(new InputStreamReader(con.getInputStream())); String inputLine; StringBuffer response = new StringBuffer(); while ((inputLine = in.readLine()) != null) { response.append(inputLine); } in.close(); // 打印响应内容 System.out.println(response.toString()); } } ``` 在上面的示例代码中,我们创建了一个信任管理器,它跳过了证书校验。然后我们创建了一个SSL上下文对象,并使用上面创建的信任管理器初始化它。最后,我们将这个SSL上下文对象设置为默认的SSL套接字工厂,并使用它来创建一个HttpsURLConnection对象。这样我们就可以跳过证书校验,并正常使用HTTPS接口了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值