调用openssl api函数C代码生成证书

最新推荐文章于 2024-04-27 12:02:13 发布
最新推荐文章于 2024-04-27 12:02:13 发布
阅读量1.6k 收藏 12
点赞数 5
文章标签: c语言 ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shenweihong/article/details/125140149
版权

概述

因工作需要用到很多新证书,但是我想更灵活处理证书,而不是用openssl命令行生成证书。网上一堆的命令行操作,我找了很久没有发现用代码生成证书的。
基于此,本人利用端午放假,花了一整天的时间,翻遍了openssl源码,找相关函数,不断地试错,终于生成证书并测试好。

软件环境

openssl:版本1.1.1k,编译好windows x86静态库
visual stdio:版本2010
Keystore Explorer:版本5.3.0,用于查看确认证书的

证书组成

如图Keystore Explorer查看的证书
在这里插入图片描述
除了最下面这一行Fingerprint,其余的都是证书里面的部分,即为:
(1)、版本
(2)、颁发者
(3)、主题者
(4)、证书序列号
(5)、有效期开始
(6)、有效期结束
(7)、公钥
(8)、签名算法及签名数据
除了签名算法及签名数据不是必须的,其余的要素都要。但是证书签名在发布出去的时候基本上要有。即生成证书之后未签名,然后拿着未签名证书去找另外一个ca签名。

关键生成证书代码


int gen_cer_cert(char* pemFileName, const char* cerPubE, const char* cerPubN, unsigned long long cerId,
	int cerFromTimeYear, int cerFromTimeMonth, int cerFromTimeDay, int cerFromTimeHour, int cerFromTimeMin, int cerFromTimeSec,
	int cerToTimeYear, int cerToTimeMonth, int cerToTimeDay, int cerToTimeHour, int cerToTimeMin, int cerToTimeSec,
	char* issuerCN, char* issuerOU, char* issuerO, char* issuerL, char* issuerST, char* issuerC,
	char* subjectCN, char* subjectOU, char* subjectO, char* subjectL, char* subjectST, char* subjectC,
	char* cerSignE, char* cerSignN, char* cerSignD)
{
	EVP_PKEY* pPubKey = NULL;
	EVP_PKEY* pSignKey = NULL;
	RSA* rsaPubCtx = NULL;
	RSA* rsaSignCtx = NULL;
	BIGNUM* bigE = NULL;
	BIGNUM* bigN = NULL;
	BIGNUM* bigD = NULL;
	int re = 0;
	X509* x509 = NULL;
	ASN1_INTEGER* asnInteger = NULL;
	ASN1_TIME* ascTime = NULL;
	char buf[32];
	X509_NAME* x509Name = NULL;
	FILE* pfile = NULL;

	x509 = X509_new();	

	//X509_set_version(x509, 1);

	rsaPubCtx = RSA_new();
	pPubKey = EVP_PKEY_new();

	bigE = BN_new();
	bigN = BN_new();

	BN_hex2bn(&bigE, cerPubE);
	BN_hex2bn(&bigN, cerPubN);

	RSA_set0_key(rsaPubCtx, bigN, bigE, NULL);

	EVP_PKEY_set1_RSA(pPubKey, rsaPubCtx);
	X509_set_pubkey(x509, pPubKey);	

	asnInteger = ASN1_INTEGER_new();
	ASN1_INTEGER_set_uint64(asnInteger, cerId);
	X509_set_serialNumber(x509, asnInteger); /* from openssl source,ASN1_INTEGER asnInteger copy,should free asnInteger after */
	ASN1_INTEGER_free(asnInteger);

	ascTime = ASN1_TIME_new();
	//ASN1_TIME_set_string(ascTime, "20220604184500Z");
	sprintf(buf, "%04d%02d%02d%02d%02d%02dZ",
		cerFromTimeYear, cerFromTimeMonth, cerFromTimeDay,
		cerFromTimeHour, cerFromTimeMin, cerFromTimeSec);
	ASN1_TIME_set_string(ascTime, buf);
	X509_set1_notBefore(x509, ascTime);
	ASN1_TIME_free(ascTime);

	ascTime = ASN1_TIME_new();
	//ASN1_TIME_set_string(ascTime, "20220605164508Z");
	sprintf(buf, "%04d%02d%02d%02d%02d%02dZ",
		cerToTimeYear, cerToTimeMonth, cerToTimeDay,
		cerToTimeHour, cerToTimeMin, cerToTimeSec);
	ASN1_TIME_set_string(ascTime, buf);
	X509_set1_notAfter(x509, ascTime);
	ASN1_TIME_free(ascTime);

	x509Name = X509_get_issuer_name(x509);

	X509_NAME_add_entry_by_txt(x509Name, "CN", MBSTRING_ASC, (unsigned char*)issuerCN, -1, -1, 0);
	X509_NAME_add_entry_by_txt(x509Name, "OU", MBSTRING_ASC, (unsigned char*)issuerOU, -1, -1, 0);
	X509_NAME_add_entry_by_txt(x509Name, "O", MBSTRING_ASC, (unsigned char*)issuerO, -1, -1, 0);
	X509_NAME_add_entry_by_txt(x509Name, "L", MBSTRING_ASC, (unsigned char*)issuerL, -1, -1, 0);
	X509_NAME_add_entry_by_txt(x509Name, "ST", MBSTRING_ASC, (unsigned char*)issuerST, -1, -1, 0);
	X509_NAME_add_entry_by_txt(x509Name, "C", MBSTRING_ASC, (unsigned char*)issuerC, -1, -1, 0);

	x509Name = X509_get_subject_name(x509);
	X509_NAME_add_entry_by_txt(x509Name, "CN", MBSTRING_ASC, (unsigned char*)subjectCN, -1, -1, 0);
	X509_NAME_add_entry_by_txt(x509Name, "OU", MBSTRING_ASC, (unsigned char*)subjectOU, -1, -1, 0);
	X509_NAME_add_entry_by_txt(x509Name, "O", MBSTRING_ASC, (unsigned char*)subjectO, -1, -1, 0);
	X509_NAME_add_entry_by_txt(x509Name, "L", MBSTRING_ASC, (unsigned char*)subjectL, -1, -1, 0);
	X509_NAME_add_entry_by_txt(x509Name, "ST", MBSTRING_ASC, (unsigned char*)subjectST, -1, -1, 0);
	X509_NAME_add_entry_by_txt(x509Name, "C", MBSTRING_ASC, (unsigned char*)subjectC, -1, -1, 0);

	rsaSignCtx = RSA_new();
	pSignKey = EVP_PKEY_new();

	bigE = BN_new();
	bigN = BN_new();
	bigD = BN_new();

	BN_hex2bn(&bigE, cerSignE);
	BN_hex2bn(&bigN, cerSignN);
	BN_hex2bn(&bigD, cerSignD);

	RSA_set0_key(rsaSignCtx, bigN, bigE, bigD);

	EVP_PKEY_set1_RSA(pSignKey, rsaSignCtx);
	X509_sign(x509, pSignKey, EVP_md5());

	pfile = fopen(pemFileName, "w");
	PEM_write_X509(pfile, x509);
	fclose(pfile);

EXIT_FUN:
	if (rsaSignCtx != NULL) {
		RSA_free(rsaSignCtx);
		rsaSignCtx = NULL;
	}
	if (rsaPubCtx != NULL) {
		RSA_free(rsaPubCtx);
		rsaPubCtx = NULL;
	}
	if (pPubKey != NULL) {
		EVP_PKEY_free(pPubKey);
		pPubKey = NULL;
	}
	if (pSignKey != NULL) {
		EVP_PKEY_free(pSignKey);
		pSignKey = NULL;
	}
	if (x509 != NULL) {
		X509_free(x509);
		x509 = NULL;
	}
	return re;
}

测试代码

#pragma comment(lib, "Crypt32.lib")
#pragma comment(lib, "compile_win_x86_lib\\lib\\libcrypto.lib")
#pragma comment(lib, "compile_win_x86_lib\\lib\\libssl.lib")
#include "openssl/rsa.h"
#include "openssl/pem.h"
#include "openssl/x509v3.h"
void _tmain(int argc, _TCHAR* argv[])
{
	//test_cer();
	//test_pri_key();
	//test_cert_new();
	//test_save_pub();
	const char* pubE = "010001";
	const char* pub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

	const char* signE = "010001";
	const char* sign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
	const char* sign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

	gen_cer_cert("test123.pem", pubE, pubN, 1234567890123456, 
		2022, 6, 3, 18, 0, 0,
		2023, 6, 5, 18, 0, 0,
		"1", "2", "3", "4", "5", "AU",
		"a", "b", "c", "d", "e", "DK",
		(char*)signE, (char*)signN, (char*)signD);
}

验证及说明

这是我生成证书然后工具查看截图
在这里插入图片描述
(1)、版本,这是自动生成的,代码中我都注释了,//X509_set_version(x509, 1);
(2)、发行者和主题者,注意C表示国家名,两个字母简写,不要乱写,一定要存在,不然显示不出来。DK表示丹麦,AU表示澳大利亚。
(3)、公钥ID值,8字节整型,设置十进制值1234567890123456,你看看是不是工具上看到得十六进制数据0x462D53C8ABAC0。
(4)、时间设置,本实例设置从2022, 6, 3, 18, 0, 0,到2023, 6, 5, 18, 0, 0,这是格林威治标准时间,在工具上看到是这个时间上加8小时,因为我们北京属于东八区。
(5)、公钥,只需要传两个参数,pubE,pubN,即公钥指数和公钥模。
(6)、签名,传入的是私钥。只需要传三个参数,char* cerSignE, char* cerSignN, char* cerSignD。另外特别注意签名算法,hash算法MD5,本示例为MD5WITHRSA,这个已经在行业内认为不安全了。业内目前公认hash算法SHA256,仅需要将**X509_sign(x509, pSignKey, EVP_md5());改为X509_sign(x509, pSignKey, EVP_sha256());**或者你认为更高级别的。

shenweihong
关注
  • 5
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java如何基于command调用openssl生成私钥证书
08-18
主要介绍了Java如何基于command调用openssl生成私钥证书,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
openssl AES对称加密算法API的使用示
yexiangCSDN的专栏
01-31 2701
openssl为用户提供了丰富的指令,同时也提供了供编程调用API,本文以使用128位aes算法的ecb模式进行加密和解密验证,如下所示 第一种方法,直接使用aes算法提供的api进行调用,代码如下 #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <openss...
openssl生成公钥和私钥
qq_36292545的博客
02-27 132
2.生成私钥对应的公钥。
WEB API 接口签名sign验证入门与实战
Blueeyedboy521的博客
10-26 4561
加密:在网络上传输的原始数据(明文)经过加密算法加密后形成(密文)传输,防止被窃取解密:将密文还原成原始数据接口签名:使用用户名,密码,时间戳和所有的排过序之后的参数组合起来,再加密得到的字符串,字符串是唯一的有权访问接口的鉴权码用户名:appKey密码:appSecret。
CryptoAPI编程
热门推荐
jun2ran的专栏
03-24 1万+
在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
树下一少年的博客
01-07 7074
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证书 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器方生成 3.客户端方生成
openssl 生成证书及生成过程
nsaygl的专栏
02-28 4815
1. 基本原理 公司一个项目要进行交易数据传输,因为这个项目银行那边也是刚刚开始启动,所有的支持只有一个传输字段的说明文档,好吧,总的有人做事不是嘛,于是接口开发正式展开,第一步的难点就是加密解密,我选择使用OpenSSL. OpenSSL初接触的人恐怕最难的在于先理解各种概念 公钥/私钥/签名/验证签名/加密/解密/非对称加密 我们一般的加密是用一个密码加密文件,然后解密也用同样的密码....
C++使用OpenSSL证书API
vaintwyt
06-07 9651
本文主要介绍如果在C++使用OpenSSL证书相关API。(基于OpenSSL 1.0.2k版本,不同版本可能API会有一些差异,但大体应该类似) 使用下面方法前,需要全局调用一次(无需多次调用OpenSSL_add_all_algorithms(); 1、生成公私钥对 BIGNUM *bne = NULL; int bits = RSA
基于OpenSSL实现C语言RSA的PKCS10的证书请求
weixin_49984575的博客
10-27 787
在自己的学习过程,可以参考网络,自己创建一个CA心,自己产生一个证书请求,自己用CA心颁发一个自签名的证书,这样在验证过程,就可以验证此证书了。这里的证书请求就是PKCS10,简称为P10。在接触密码学,就会涉及到证书,我们在虚拟网络产生信任,就要有一个信任源,而在密码层面,信任源就是颁布证书的认证心,从而,证书就是我们可以相信的虚拟对象。具体调用方式如下,我添加了一些注释,便于理解,这里在使用RSA做签名和验签时不同于SM2,RSA在签名验签入参时,需要先对源数据进行hash计算。
使用openssl生成证书步骤
weixin_35755188的博客
01-16 508
首先安装OpenSSL。 生成私钥:在命令行输入 "openssl genrsa -out private.pem 2048",其private.pem为私钥文件名。 使用私钥生成CSR(证书签名请求):在命令行输入 "openssl req -new -key private.pem -out csr.csr",其csr.csr为CSR文件名。 使用CSR和CA(证书颁发机构)签发证书...
openssl命令制作证书
豪哥专栏
01-04 577
一、制作根证书 1、准备工作(home目录下创建目录) 命令:mkdir demoCA && mkdir demoCA/certs && mkdir demoCA/newcerts && mkdir demoCA/private && mkdir demoCA/crl && touch index.txt serial && echo 01 > serial 2、生产根证书私钥 命令:op
openssl生成证书
12-27
使用openssl生成证书,有详细的步骤说明,亲测可用。还有一些关于证书的一些常用转换操作介绍
OpenSSL生成的ssl证书
01-11
通过OpenSSL生成的ssl证书,用于windows下用nginx配置https服务器( OpenSSL创建证书) 无需再下载OpenSSL,配置OpenSSL相关环境,在进行命令生成证书
使用openssl 生成免费证书的方法步骤
01-10
即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。...
c语言调用 openssl
08-21
c 语言可使用的 Openssl 库,好用,真实测试,把他包含到项目,直接调用即可
C语言】文件操作
qq_45951891的博客
04-24 677
每个被使用的文件都在内存开辟了一个相应的文件信息区,用来存放文件的相关信息。如果成功,该函数返回一个 size_t 对象,表示元素的总数,该对象是一个整型数据类型。如果到达文件末尾或者没有读取到任何字符,str 的内容保持不变,并返回一个空指针。该函数以无符号 char 强制转换为 int 的形式返回读取的字符,如果到达文件末尾或发生读错误,则返回 EOF。当设置了与流关联的文件结束标识符时,该函数返回一个非零值,否则返回零。如果成功,则返回写入的字符总数,否则返回一个负数。
AD--SSL卸载--单向认证和双向认证
qq_61759561的博客
04-23 431
AD--SSL卸载--单向认证和双向认证
Linux:使用ssl加密网站为https
fox_kang的博客
04-26 523
【代码】Linux:使用ssl加密网站为https。
openssl3.2 - exp - get openssl version info
最新发布
talk is cheap;Later equals never;如果对你有帮助,点赞就行,没有建设性的建议请别留言:P
04-27 304
查资料时,看到用API取旧版openssl取版本信息。去openssl工程看了一下,有个内部测试程序有如何取openssl版本信息的API调用例子。整理一下。如果程序出了问题, 想确定一下openssl版本时,这个检测代码有用。
openssl生成代码签名证书
05-27
好的,您可以按照以下步骤使用 OpenSSL 生成代码签名证书: 1. 生成私钥 使用以下命令生成一个私钥文件: ``` openssl genrsa -out code.key 2048 ``` 其,`2048` 是加密强度,您可以根据需要进行调整。 2. 生成证书请求 使用以下命令生成一个证书请求文件: ``` openssl req -new -key code.key -out code.csr ``` 在此过程,您将需要输入一些信息,例如组织名称、国家、城市等等。这些信息将会被包含在生成的证书,因此请确保输入正确的信息。 3. 获取证书 将您的证书请求文件发送给证书颁发机构 (CA),以获取您的证书。一般情况下,您需要支付一定的费用才能获得证书。 4. 安装证书 一旦您获得了证书,您需要将其安装到您的服务器上。具体步骤将取决于您的服务器软件和操作系统。 以上就是使用 OpenSSL 生成代码签名证书的基本步骤,希望对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值