OpenSSL之SSL_CTX_use_certificate_file分析

最新推荐文章于 2024-04-25 07:42:53 发布
最新推荐文章于 2024-04-25 07:42:53 发布
阅读量8.3k 收藏 5
点赞数 1
文章标签: c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012023606/article/details/108405476
版权

OpenSSL之SSL_CTX_use_certificate_file分析

本系列OpenSSL使用的代码版本为:1.0.2o

前言

本篇文章纯属个人学习的一点经验分享,若有不对之处烦请各位大神现身指点,希望能和大家一起共同进步。

 

一、SSL_use_certificate_file是什么?

SSL_CTX_use_certificate_file是openssl代码中的证书调用函数,函数申明为:

int SSL_CTX_use_certificate_file(SSL_CTX *ctx, const char *file, int type);

参数:

ctx:SSL的上下文句柄

file:证书文件的路径

type:证书文件的类型,

         SSL_FILETYPE_ASN1:ASN.1格式又称DER格式。

         SSL_FILETYPE_PEM:PEM格式,简单点讲就是DER格式经过base64计算后的格式。

返回值:

0:失败

1:成功

二、代码分析

int SSL_CTX_use_certificate_file(SSL_CTX *ctx, const char *file, int type)
{
    int j;
    BIO *in;
    int ret = 0;
    X509 *x = NULL;

    in = BIO_new(BIO_s_file_internal());
    if (in == NULL) {
        SSLerr(SSL_F_SSL_CTX_USE_CERTIFICATE_FILE, ERR_R_BUF_LIB);
        goto end;
    }

    if (BIO_read_filename(in, file) <= 0) {
        SSLerr(SSL_F_SSL_CTX_USE_CERTIFICATE_FILE, ERR_R_SYS_LIB);
        goto end;
    }
    if (type == SSL_FILETYPE_ASN1) {
        j = ERR_R_ASN1_LIB;
        x = d2i_X509_bio(in, NULL);
    } else if (type == SSL_FILETYPE_PEM) {
        j = ERR_R_PEM_LIB;
        x = PEM_read_bio_X509(in, NULL, ctx->default_passwd_callback,
                              ctx->default_passwd_callback_userdata);
    } else {
        SSLerr(SSL_F_SSL_CTX_USE_CERTIFICATE_FILE, SSL_R_BAD_SSL_FILETYPE);
        goto end;
    }

    if (x == NULL) {
        SSLerr(SSL_F_SSL_CTX_USE_CERTIFICATE_FILE, j);
        goto end;
    }

    ret = SSL_CTX_use_certificate(ctx, x);
 end:
    if (x != NULL)
        X509_free(x);
    if (in != NULL)
        BIO_free(in);
    return (ret);
}

        代码开头调用BIO_new(BIO_s_file_internal())为读取证书申请一个文件类型的BIO,然后调用BIO_read_filename(in, file)将证书文件设置到BIO中,然后根据证书类型不同调用不用的证书加载方法,type == SSL_FILETYPE_ASN1时调用d2i_X509_bio(in, NULL)将证书文件加载到X509句柄中,当type == SSL_FILETYPE_PEM时调用PEM_read_bio_X509(in, NULL, ctx->default_passwd_callback,ctx->default_passwd_callback_userdata)将证书文件加载到X509句柄中,证书加载失败则goto end;释放句柄,退出操作。

        加载证书成功后调用ret = SSL_CTX_use_certificate(ctx, x);将证书设置到ctx上下文中,下面我们来看看SSL_CTX_use_certificate函数的实现。

int SSL_CTX_use_certificate(SSL_CTX *ctx, X509 *x)
{
    if (x == NULL) {
        SSLerr(SSL_F_SSL_CTX_USE_CERTIFICATE, ERR_R_PASSED_NULL_PARAMETER);
        return (0);
    }
    if (!ssl_cert_inst(&ctx->cert)) {
        SSLerr(SSL_F_SSL_CTX_USE_CERTIFICATE, ERR_R_MALLOC_FAILURE);
        return (0);
    }
    return (ssl_set_cert(ctx->cert, x));
}

        开头是常见的判NULL操作,不管,接着是ssl_cert_inst(&ctx->cert)操作,用来查看ctx句柄中cert字段是否存在内容,存在则什么都不干,不存在则调用ssl_cert_new()函数申请一个CERT赋值给ctx->cert,接着调用ssl_set_cert(ctx->cert, x)将证书x设置到ctx->cert中,下面我们来看看ssl_set_cert函数的实现。

static int ssl_set_cert(CERT *c, X509 *x)
{
    EVP_PKEY *pkey;
    int i;

    pkey = X509_get_pubkey(x);
    if (pkey == NULL) {
        SSLerr(SSL_F_SSL_SET_CERT, SSL_R_X509_LIB);
        return (0);
    }

    i = ssl_cert_type(x, pkey);
    if (i < 0) {
        SSLerr(SSL_F_SSL_SET_CERT, SSL_R_UNKNOWN_CERTIFICATE_TYPE);
        EVP_PKEY_free(pkey);
        return (0);
    }

    if (c->pkeys[i].privatekey != NULL) {
        /*
         * The return code from EVP_PKEY_copy_parameters is deliberately
         * ignored. Some EVP_PKEY types cannot do this.
         */
        EVP_PKEY_copy_parameters(pkey, c->pkeys[i].privatekey);
        ERR_clear_error();

#ifndef OPENSSL_NO_RSA
        /*
         * Don't check the public/private key, this is mostly for smart
         * cards.
         */
        if ((c->pkeys[i].privatekey->type == EVP_PKEY_RSA) &&
            (RSA_flags(c->pkeys[i].privatekey->pkey.rsa) &
             RSA_METHOD_FLAG_NO_CHECK)) ;
        else
#endif                          /* OPENSSL_NO_RSA */
        if (!X509_check_private_key(x, c->pkeys[i].privatekey)) {
            /*
             * don't fail for a cert/key mismatch, just free current private
             * key (when switching to a different cert & key, first this
             * function should be used, then ssl_set_pkey
             */
            EVP_PKEY_free(c->pkeys[i].privatekey);
            c->pkeys[i].privatekey = NULL;
            /* clear error queue */
            ERR_clear_error();
        }
    }

    EVP_PKEY_free(pkey);

    if (c->pkeys[i].x509 != NULL)
        X509_free(c->pkeys[i].x509);
    CRYPTO_add(&x->references, 1, CRYPTO_LOCK_X509);
    c->pkeys[i].x509 = x;
    c->key = &(c->pkeys[i]);

    c->valid = 0;
    return (1);
}

        首先调用pkey = X509_get_pubkey(x)获取公钥信息,然后调用i = ssl_cert_type(x, pkey)获取证书类型对应的数组下标,如:

# define SSL_PKEY_RSA_ENC        0
# define SSL_PKEY_RSA_SIGN       1
# define SSL_PKEY_DSA_SIGN       2
# define SSL_PKEY_DH_RSA         3
# define SSL_PKEY_DH_DSA         4
# define SSL_PKEY_ECC            5
# define SSL_PKEY_GOST94         6
# define SSL_PKEY_GOST01         7
# define SSL_PKEY_NUM            8

然后根据下标判断ctx->cert对应位置的私钥是否存在,如果存在则判断公私钥是否匹配,如果使用了不匹配的密钥和证书就会在这个时候检测出错,然后退出函数,检测通过之后就将x509证书指针设置到ctx->cert对应的下标中进行存储,最后释放不需要的句柄返回成功。

总结

好了,讲到这里差不多将SSL_use_certificate_file流程过了一遍,希望对其他有兴趣学习OpenSSL的同学起到帮助。

上清灵宝道人
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenSSL-1_0_2u_Win32_Win64
09-24
OpenSSL-1_0_2u_Win32_Win64 两个版本
OpenSSL 常用函数——SSL/TLS编程
Net_Wolf_007的专栏
10-31 6306
 SSL/TLS协议已经广泛应用于电子商务中, 用来保证信息传输的安全性。利用OpenSSL进行了安全套接字编程和普通套接字编程类似。主要函数1、  初始化SSL算法库函数Int SSL_Library_init(void);#define OpenSSL_add_ssl_algorithms()            SSL_Library_init()#define
c++使用OpenSSL基于socket实现tcp双向认证ssl(使用TSL协议)代码实现
dream_caoyun的博客
02-23 9859
相信各位对OpenSSL库已经不陌生了,目前笔者使用这个库实现了RSA、AES加解密和tcp的双向认证功能,下面来看tcp的双向认证。 1、什么是双向认证 简单说双向认证就是:客户端认证服务端是否合法,服务端认证客户端是否合法。 可以借助于HTTPS来说明,http网络传输协议是超文本的明文协议,也就是说经过网卡传输的字节序列都是明文,那么HTTPS上的s就是双向认证的操作(ssl),实际上就是在http的逻辑上再套一层ssl握手,进程想要发送的字节序列数据经过http传输时再加上一层ssl来让c和s两端先
OpenSSL编程初探
huang714的专栏
03-09 1208
1 --- 使用OpenSSL API建立SSL通信的一般流程简介 OpenSSL是一套开放源代码的SSL套件,其函数库是以C语言所写成,实现了基本的传输层数据加密功能。此软件是以两个加拿大人Eric A. Young 和Tim J. Hudson所写的SSLeay为基础所发展的,SSLeay随着两人前往RSA公司任职而停止开发。1998年,OpenSSL项目组接管了OpenSSL的开发工作,并...
ssl.rar_openssl ssl通信_ssl
09-20
使用WSAAsyncSelect实现SSL通信,使用openssl
openssl编程2 关于证书文件的加载
whatday的专栏
01-07 1519
一般说来,当前主流网站都走的单项认证的路子,即只有服务器需向客户端发送证书,客户端不需向服务器发送证书。在这种情况下,加载证书是服务端需要做的事情。// 前面省略了服务端socket套接字的创建过程// 接受客户端的socket连接\n");continue;// 创建服务端SSL会话环境\n");return -1;/*-------------------------Begin of:服务端公私钥加载-------------------------*/
Openssl实现ssl通信实例
mayi_xiaochaun的博客
05-31 2455
下面实例中使用的证书请参考openssl详解自行生成 server.c #include "stdio.h" #include <net/if.h> #include <stdlib.h> #include <string.h> #include <netinet/in.h> #include <openssl/crypto.h> #include <openssl/ssl.h> #include <openssl/err.
SSL_CTX_use_certificate_fileSSL_CTX_use_certificate_chain_file的比较
InkSnail的专栏
05-30 7704
首先最明确的当然是参数了,哈哈晕死,总之是推荐使用SSL_CTX_use_certificate_chain_file的具体的还是要看官网上的解释了:NOTES The internal certificate store of OpenSSL can hold two private key/certificate pairs at a time(同时): one key/certifica
OpenSSL API入门和踩坑大全
xmcy001122的专栏
05-24 4381
SSL学习笔记 OpenSSL库基础 根据 官方的例子,OpenSSL常用的结构体和函数如下: 初始化OpenSSLSSL_library_init():初始化SSL算法库函数 SSL_load_error_strings():载入所有SSL 错误消息 OpenSSL_add_all_algorithms(): 载入所有SSL 算法 加载和验证证书 通过SSL_CTX_new(SSL_METHOD *method)创建一个SSL_CTX *实例,用来保存证书的私钥。其中method通过TLS_
openssl实现双向认证教程(服务端代码+客户端代码+证书生成)
huang714的专栏
03-10 5393
一、背景说明 1.1 面临问题 最近一份产品检测报告建议使用基于pki的认证方式,由于产品已实现https,商量之下认为其意思是使用双向认证以处理中间人形式攻击。 《信息安全工程》中接触过双向认证,但有两个问题。 第一个是当时最终的课程设计客户端是浏览器,服务端是tomcat双向认证只需要对两者进行配置并不需要自己真的实现代码。 第二个是虽然课程也有接近双向认证的实现代码,但当时是Jav...
cli.rar_Openssl socket_openssl ssl_socket ssl_ssl
09-20
使用opensslSSL下的SOCKET客户端
openssl-include.rar_C常用头文件_openssl_ssl_visual c
09-20
Openssl的常用头文件,本人经常用,很不错的。
openssl.rar_OpenSSL sdk c++_openssl_openssl sdk
07-14
openssl 的一套sdk 特别好用
ca.rar_CA_open ssl_openssl apps.h
09-20
本软件包将每个openssl的apps程序做成一个可直接运行调试的VC Console 类型应用程序,方便研究和运用openssl的朋友,避免了openssl在windows下的编译问题,并且因为可以在VC环境下进行调试,使得对openssl的各个应用...
LeetCode //C - 38. Count and Say Medium Topics Companies
Made in Code
04-25 739
【代码】LeetCode //C - 38. Count and Say Medium Topics Companies。
C语言】万字详讲操作符
m0_74088266的博客
04-20 1133
C语言操作符相关知识点
C++笔记之C++、C语言、PISIX、拿到线程函数的返回值的所有方法
小勇博客
04-21 287
— 2023-12-10 杭州。
Linux操作系统相关习题集
04-25
Linux操作系统相关习题集,包含常用名、Linux系统基础知识等
基于java的-30-「计算机毕业设计」基于net的湖南特产销售网站-源码.zip
最新发布
04-25
提供的源码资源涵盖了Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 适合毕业设计、课程设计作业。这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。 所有源码均经过严格测试,可以直接运行,可以放心下载使用。有任何使用问题欢迎随时与博主沟通,第一时间进行解答!
SSL_CTX_use_certificate
07-27
SSL_CTX_use_certificate 函数是 OpenSSL 库中用于设置 SSL/TLS 上下文中证书的函数。它用于将一个 X509 结构体类型的证书加载到 SSL 上下文中,以供 SSL/TLS 握手时使用。 这个函数接受两个参数:SSL_CTX 对象和指向证书的 X509 结构体指针。它将指定的证书与 SSL 上下文关联起来,以便在 SSL/TLS 握手时使用。 示例代码如下: ```c #include <openssl/ssl.h> // ... SSL_CTX* ctx = SSL_CTX_new(SSLv23_server_method()); if (ctx == NULL) { // 错误处理 } // 加载证书 if (SSL_CTX_use_certificate_file(ctx, "server.crt", SSL_FILETYPE_PEM) <= 0) { // 错误处理 } // ... ``` 以上代码创建了一个 SSL 上下文对象 `ctx`,并使用 `SSL_CTX_use_certificate_file` 函数将名为 "server.crt" 的 PEM 格式证书加载到上下文中。 请注意,此函数仅设置证书,需要单独使用 `SSL_CTX_use_PrivateKey` 函数设置相应的私钥。 希望这能解答你的问题!如果有任何进一步的疑问,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值