openssl req.c代码分析

最新推荐文章于 2024-04-24 19:23:34 发布
最新推荐文章于 2024-04-24 19:23:34 发布
阅读量412 收藏 2
点赞数
文章标签: c语言 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ughome/article/details/130088623
版权

OpenSSL req.c分析

此实现包括生成秘钥对,发证,生成证书请求, 签名验签。

  1. 加载配置文件模板,如果加载失败,退出. 默认配置文件使用环境变量OPENSSL_CONF 或者从宏OPENSSLDIR 获取OPENSSL的安装目录,然后获取配置文件

    
	long errorline = -1;
	CONF *conf;
	int i;

	conf = NCONF_new(NULL);
	i = NCONF_load_bio(conf, in, &errorline);
	if (i > 0)
		return conf;

  2. 从配置文件中获取oid_file,文件内容格式Line format:<OID:isdigit or ‘.’]>,解析此文件

    p = NCONF_get_string(req_conf, NULL, "oid_file");
    • OBJ_txt2obj(const char *s int no_name),此函数可以解析OID,OID是按照1.2.34343这格式,
    • 先计算这种格式数据内容占用的内存空间。方法a2d_ASN1_OBJECT(NULL, 0, s, -1);
    • j = ASN1_object_size(0, i, V_ASN1_OBJECT); 计算对象占用的空间
    • 分配总长度为j的内存空间p
    • 【TLV】向分配的空间中写入tag和lenght 方法ASN1_put_object(&p, 0, i, V_ASN1_OBJECT, V_ASN1_UNIVERSAL);
    • 写入内容 a2d_ASN1_OBJECT(p, i, s, -1);
    • 生成object 调用方法 op = d2i_ASN1_OBJECT(NULL, &cp, j);

  3. 从配置文件的req区块获取默认摘要算法

  4. 获取OID

    • 4.1 如果传入扩展为空,从配置文件req区块获取扩展x509_extensions

      • extension = X509_EXTENSION_create_by_OBJ(NULL, obj, crit, oct);
      • X509v3_add_ext(sk, ext, -1)
      • 这个栈是在NCONF中的

    • 4.2 如果有额外的配置文件,从额外的配置文件中也获取oid

    • 4.3 从req区的req_extensions 获取OID

  5. 生成秘钥对

    • 5.1 set_keygen_ctx方法分析,外部选项 {“newkey”, OPT_NEWKEY, ‘s’, “Specify as type:bits”}, 指定了秘钥的算法和位长度,分析此字符串,找到对应的算法

      字符串截取判断

      • 如果此字符串为空,认为是RSA类型
      • 如果字符串的首个字符大于0小于9 认为是RSA,并认为此字符串代表了key的长度
      • 如果此字符串前6个字符是param: 认为冒号后面是参数文件,给paramfile赋值
      • 如果字符串是被冒号隔开的,那么获取冒号前面的字符串,认为是某种key类型,去标准pkey算法中查找ameth = EVP_PKEY_asn1_find_str(&tmpeng, gstr, len);
        然后获取对应的算法的类型EVP_PKEY_asn1_get0_info(NULL, pkey_type, NULL, NULL, NULL, ameth); 如果类型是RSA认为冒号后面的是key的长度,否则认为冒号
        后面的是参数文件
        后续处理
      • 如果参数文件不为空,读取参数文件 EVP_PKEY *param = PEM_read_bio_Parameters(pbio, NULL);
      • 如果param为空,X509 *x = PEM_read_bio_X509(pbio, NULL, NULL, NULL); param = X509_get_pubkey(x);
      • 创建evp_pkey_ctx,其中pkey_type就是EVP_PKEY_RSA之类的东西
      	if (param != NULL) {
		gctx = EVP_PKEY_CTX_new(param, keygen_engine);
		*pkeylen = EVP_PKEY_bits(param);
		EVP_PKEY_free(param);
	} else {
		gctx = EVP_PKEY_CTX_new_id(*pkey_type, keygen_engine);
	}
      • 初始化 EVP_PKEY_keygen_init(gctx)
      • 如果是RSA设置key长度EVP_PKEY_CTX_set_rsa_keygen_bits(gctx, keylen)

    • 5.2 如果有key的选项,设置之pkey_ctrl_string(genctx, genopt)

    • 5.3 生成秘钥对 EVP_PKEY_keygen(genctx, &pkey)

  6. 从配置文件req区获取encrypt_rsa_key 及encrypt_key字段,如果此字段是no,那么将加密key的对称算法置空

  7. 输出私钥 PEM_write_bio_PrivateKey(out, pkey, cipher,NULL, 0, NULL, passout)

  8. 如果没有newreq参数 ,从输入文件中加载证书请求

    • d2i_X509_REQ_bio
    • PEM_read_bio_X509_REQ

  9. 如果有参数newreq或者x509不为空

    • 9.1 生成证书请求

      • 从配置文件获取prompt参数,如果为no那就是不提示,如果是yes 会提示输入一些生成证书请求的信息

      • 从配置文件获取distinguished_name参数,得到DN栈

      • 从配置文件获取attributes参数,获取属性栈

      • 设置证书请求版本号X509_REQ_set_version

      • 如果用户传入了subj参数通过传入的subj,格式为/type0=value0/type1=value1/type2=… 解析生成

    	X509_NAME *n = X509_NAME_new()
	nid = OBJ_txt2nid(typestr)
	X509_NAME_add_entry_by_NID(n, nid, chtype,
											valstr, strlen((char *)valstr),
											-1, ismulti ? -1 : 0)
	X509_REQ_set_subject_name(req, n)
    • 如果没有提示,从配置文件中获取dn和属性对证书请求对象进行填充
    • 如果有提示,并没有发现里面有提示输入的代码,有一些对值的大小进行校验的代码
      只处理配置项的name的后缀为_min,_max,_default,_value的项目
    • 设置证书请求的公钥 X509_REQ_set_pubkey
    • 签名
    	EVP_MD_CTX *mctx = EVP_MD_CTX_new(); 
	EVP_DigestSignInit,
	EVP_PKEY_CTX_ctrl_str(ctx, stmp, vtmp)
	X509_REQ_sign_ctx

    • 9.2 生成证书

      • X509_new()
      • 设置版本号X509_set_version(x509ss, 2)
      • 设置序列号 X509_set_serialNumber
      • 设置签发者X509_set_issuer_name
      • 设置时效
      	int set_cert_times(X509 *x, const char *startdate, const char *enddate,
					   int days)
	{
		if (startdate == NULL || strcmp(startdate, "today") == 0) {
			if (X509_gmtime_adj(X509_getm_notBefore(x), 0) == NULL)
				return 0;
		} else {
			if (!ASN1_TIME_set_string_X509(X509_getm_notBefore(x), startdate))
				return 0;
		}
		if (enddate == NULL) {
			if (X509_time_adj_ex(X509_getm_notAfter(x), days, 0, NULL)
				== NULL)
				return 0;
		} else if (!ASN1_TIME_set_string_X509(X509_getm_notAfter(x), enddate)) {
			return 0;
		}
		return 1;
	}
      • 设置主体 X509_set_subject_name
      • 设置公钥 X509_set_pubkey
      • 设置扩展,同证书请求
      • 签名
      	EVP_MD_CTX *mctx = EVP_MD_CTX_new();
	EVP_DigestSignInit
	EVP_PKEY_CTX_ctrl_str(ctx, stmp, vtmp)
	X509_sign_ctx
ughome
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于OpenSSL,实现C语言RSA的PKCS10的证书请求
weixin_49984575的博客
10-27 787
在自己的学习过程中,可以参考网络中,自己创建一个CA中心,自己产生一个证书请求,自己用CA中心颁发一个自签名的证书,这样在验证过程中,就可以验证此证书了。这里的证书请求就是PKCS10,简称为P10。在接触密码学中,就会涉及到证书,我们在虚拟网络中产生信任,就要有一个信任源,而在密码层面,信任源就是颁布证书的认证中心,从而,证书就是我们可以相信的虚拟对象。具体调用方式如下,我添加了一些注释,便于理解,这里在使用RSA做签名和验签时不同于SM2,RSA在签名验签入参时,需要先对源数据进行hash计算。
openssl1.1.0.rar
09-15
openssl 1.1.0 编译的win32库,这是32位的 利用官网源码编译的,方便只需要库文件的朋友
openssl 命令: openssl req 命令详解
yygr的博客
02-08 1703
设置证书名称,下面的命令中用该变量值替换​#生成证书​#生成示例openssl req命令主要的功能有,生成证书请求文件, 查看验证证书请求文件,还有就是生成自签名证书。
openssl简介-指令req
三口酥屋
03-21 1566
 openssl简介-指令req openssl简介-指令req     用法:         openssl req [-inform PEM|DER] [-outform PEM|DER] [-in filename]         [-passin arg] [-out filename] [-passout arg] [-text] [-noout]
OPENSSL简介
wangxu696200的博客
07-05 2153
源码在ssl目录,有客户端(xx_clnt.c)、服务器(xx_srvr.c)、加密实现(xx_enc.c)、记录协议实现(xx_pkt.c)、METHOD方法(xx_meth.c)、双方握手方法(xx_both.c),以及对外函数(xx_lib.c)开源SSL安全工具,包含SSL协议实现,大量软算法(对称/非对称/摘要),非对称算法密钥生成,ASN.1编解码库、证书请求(pscs10) 编解码,数字证书、CRL编解码,OCSP协议,pkcs7标准实现和pkcs12个人数字证书格式实现等功能;
openssl req(生成证书请求和自建CA)
yygr的博客
02-10 849
另外,还需要将提供的数据进行数字签名(使用单向加密),保证该证书请求文件的完整性和一致性,防止他人盗取后进行篡改,例如黑客将为www.baidu.com所申请的证书请求文件中的公司名改成对方的公司名称,如果能够篡改成功,则签署该证书请求时,所颁发的证书信息中将变成他人信息。例如此处指定md5算法。实际上,"-x509"选项和"-new"或"-newkey"配合使用时,可以不指定证书请求文件,它在自签署过程中将在内存中自动创建证书请求文件,当然,既然要创建证书请求文件,就需要人为输入申请者的信息了。
深入探索 OpenSSL:概念、原理、开发步骤、使用方法、使用场景及代码示例
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
07-01 6027
深入探索 OpenSSL:概念、原理、开发步骤、使用方法、使用场景及代码示例
OpenSSL开发——利用SSL写的简单的C/S程序
oj847935591的博客
02-25 7008
先使用 openssl 生成服务器证书、私钥    openssl req -newkey rsa:2048 -nodes -keyout rsa_keyServer.pem -x509 -days 365 -out certServer.cer -subj "/C=CN/ST=GD/L=GZ/O=abc/OU=defg/CN=hijk/emailAddress=132456.com"帮助链接: ...
13.openssl编程——ASN1库
艾小小雨的博客
01-17 1851
13.1  ASN1简介 ANS.1(Abstract Syntax Notation One, X.208),是一套灵活的标记语言,他允许定义多种数据类型,从integer、bit string、一类的简单类型到结构化类型,如set和sequence,并且可以使用这些类型构建复杂类型。 DER编码是ANS.1定义的将对象描述数据编码成8位串值的编码规则,他给出了对ANS.1值(对象的类...
OpenSSL中文手册之PEM库详解
热门推荐
liao20081228的博客
08-15 1万+
#include &amp;lt;openssl/pem.h&amp;gt; EVP_PKEY *PEM_read_bio_PrivateKey(BIO *bp, EVP_PKEY **x, pem_password_cb *cb, void *u); EVP_PKEY *PEM_read_PrivateK
openssl源码
03-28
openssl源码 openssl-1.0.2d.tar
openssl官方最新版本源码
03-31
为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。openssl 源码
openssl代码
12-20
用于开发安全套接字的开源软件包,非常好用。有帮助文档
openssl代码
04-21
openssl代码代码,许多方法可以参考,加密,解密的aes md5,pkcs7,ras,pkcs12,等等等等,太丰富了,你不会失望的
OPENSSL源码.rar
06-03
OPENSSL源码.rar
opensslwindows.rar
04-30
windows下的openssl安装程序,我原来是用于搭建QT和ArcGIS的,希望能帮助到需要的人。
openssl-1.1.1g.tar.gz
07-25
openssl-1.1.1g版本的源码。openssl在Linux系统中非常重要,很多软件都依赖于openssl,因此,许多高版本的软件都依赖于高版本的openssl
OpenSSL 1.1.1.1201 for AIX 6.1, 7.1, 7.2 & 7.3 安装包
06-29
OpenSSL 1.1.1.1201 解决了在 openssl 1.1.1o 版本之前报告的所有漏洞。 作为此文件集的一部分提供的库是使用与 1.0.2 版本中使用的相同配置构建的。 还包含了CVE-2022-1292 CVE-2022-0778 DISPLAY_PATCH_VERSION的...
再谈C语言——理解指针(四)
最新发布
Lucas_Micheal的博客
04-24 1062
assert.h 头⽂件定义了宏 assert() ,⽤于在运⾏时确保程序符合指定条件,如果不符合,就报错终⽌运⾏。这个宏常常被称为“断⾔”。上⾯代码在程序运⾏到这⼀⾏语句时,验证变量 p 是否等于 NULL。如果确实不等于 NULL ,程序 继续运⾏,否则就会终⽌运⾏,并且给出报错信息提⽰。assert() 宏接受⼀个表达式作为参数。如果该表达式为真(返回值⾮零), assert() 不会产⽣ 任何作⽤,程序继续运⾏。
c语言 openssl生成csr
05-26
要在 C 语言中使用 OpenSSL 库生成 CSR,可以按照以下步骤: 1. 包含 OpenSSL 库头文件和链接库: ```c #include <openssl/rsa.h> #include <openssl/pem.h> #include <openssl/err.h> #pragma comment(lib, ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值