X509格式的证书校验(基于GMSSL2019-06-15版本)

最新推荐文章于 2022-07-06 16:41:49 发布
最新推荐文章于 2022-07-06 16:41:49 发布
阅读量424 收藏 1
点赞数
原文链接:http://www.cnblogs.com/eaglexmw/p/11376639.html
版权

实现X509格式证书的链式校验

// cert_public.cpp : Defines the exported functions for the DLL application.
//

#include "stdafx.h"
#include <string.h>
#include <stdio.h>
#include <string>

#include <stdarg.h>

#include <openssl/pem.h>
#include <openssl/x509.h>
#include <openssl/x509v3.h>

#include "sm_public.h"

extern "C" {

/*****************************************************************************
* @brief    : 通过X509格式的字符串得到一个X509内部结构对象
* @author   : xiaomw
* @date     : 2019/8/13 
* @inparam  : plaintext X509格式的字符串
* @return   : 成功返回非0 失败返回0
*****************************************************************************/
CRYPT_SMDLL_C void* X509_Str2Object(const char *in)
{
    BIO *bio_obj = NULL;
    X509* x509_obj = NULL;

    //根据字符串内容,构造一个BIO对象
    bio_obj = BIO_new_mem_buf(in, strlen(in));
    if (NULL == bio_obj){
        return NULL;
    }

    //调用接口创建呗
    x509_obj = (X509 *) PEM_ASN1_read_bio((d2i_of_void *)d2i_X509, PEM_STRING_X509, bio_obj, NULL, NULL, NULL);

    //释放对象
    BIO_free(bio_obj);

    return x509_obj;
}

X509* _X509_RootCertStr2Object(const char *in)
{
    BIO *bio_obj = NULL;
    X509* x509_obj = NULL;
    X509_INFO *itmp  = NULL;
    STACK_OF(X509_INFO) *inf  = NULL;

    //根据字符串内容,构造一个BIO对象
    bio_obj = BIO_new_mem_buf(in, strlen(in));
    if (NULL == bio_obj){
        return NULL;
    }
    inf = PEM_X509_INFO_read_bio(bio_obj, NULL, NULL, NULL);
    //释放对象
    BIO_free(bio_obj);
    if (NULL == inf){
        return NULL;
    }

    for (int i = 0; i < sk_X509_INFO_num(inf); i++) {
        itmp = sk_X509_INFO_value(inf, i);
        if (itmp->x509) {
            //复制一个X509对象
            x509_obj = X509_dup(itmp->x509);
            sk_X509_INFO_pop_free(inf, X509_INFO_free);
            return x509_obj;
        }
    }
    sk_X509_INFO_pop_free(inf, X509_INFO_free);

    return NULL;
}

static UINT32 _x509_get_entry_value(const X509_NAME* x509_name, X509_NAME_ENTRY_TYPE nEntry, char* value)
{
    ASN1_STRING* strNameValue = NULL;
    const X509_NAME_ENTRY *x_name_entry = NULL;

    //获取到相应的NameEntry
    x_name_entry = X509_NAME_get_entry(x509_name, nEntry);
    if (NULL == x_name_entry)
    {
        return 1;
    }

    strNameValue = X509_NAME_ENTRY_get_data(x_name_entry);
    if (NULL == strNameValue)
    {
        return 1;
    }

    //拷贝内容
    lstrcpyA(value, (const char*)ASN1_STRING_data(strNameValue));

    return 0;
}

CRYPT_SMDLL_C UINT32 X509_GetIssuerName(const void* pX509_object, X509_NAME_ENTRY_TYPE nEntry, char* value)
{
    const X509_NAME* x_name = NULL;
    ASN1_STRING* strNameValue = NULL;
    const X509_NAME_ENTRY *x_name_entry = NULL;

    if (NULL == pX509_object)
    {
        return 1;
    }

    //校验nEntry
    if (nEntry < NID_commonName || nEntry > NID_organizationalUnitName)
    {
        return 1;
    }

    //获取到值
    x_name = X509_get_issuer_name((const X509*)pX509_object);
    if (NULL == x_name)
    {
        return 1;
    }

    //调用一样的接口返回
    return _x509_get_entry_value(x_name, nEntry, value);
}

CRYPT_SMDLL_C UINT32 X509_GetSubjectName(const void* pX509_object, X509_NAME_ENTRY_TYPE nEntry, char* value)
{
    const X509_NAME* x_name = NULL;
    ASN1_STRING* strNameValue = NULL;
    const X509_NAME_ENTRY *x_name_entry = NULL;

    if (NULL == pX509_object)
    {
        return 1;
    }

    //校验nEntry
    if (nEntry < NID_commonName || nEntry > NID_organizationalUnitName)
    {
        return 1;
    }

    //获取到值
    x_name = X509_get_subject_name((const X509*)pX509_object);
    if (NULL == x_name)
    {
        return 1;
    }

    //调用一样的接口返回
    return _x509_get_entry_value(x_name, nEntry, value);
}

class Mini_X509_Verify_Class
{
private:
    X509* x509_obj;
    X509_STORE * x509_store;
    STACK_OF(X509) * x509_chain;
    X509_STORE_CTX * x509_store_ctx;

public:
    Mini_X509_Verify_Class(): x509_obj(NULL), x509_store(NULL), x509_chain(NULL), x509_store_ctx(NULL){}
    ~Mini_X509_Verify_Class()
    {
        if (NULL != x509_obj){
            X509_free(x509_obj);
        }
        if (NULL != x509_store){
            X509_STORE_free(x509_store);
        }
        if (NULL != x509_chain){
            sk_X509_pop_free(x509_chain, X509_free);
        }
        if (NULL != x509_store_ctx){
            X509_STORE_CTX_cleanup(x509_store_ctx);
        }
    }

    UINT32 set_verify_cert(const char* cert)
    {
        x509_obj = (X509*)X509_Str2Object(cert);
        if (NULL == x509_obj){
            return 1;
        }
        return 0;
    }

    UINT32 add_root_cert(const char* root_cert)
    {
        //没有存储对象,则先创建一个
        if (NULL == x509_store){
            x509_store = X509_STORE_new();
            if (NULL == x509_store)
            {
                return 1;
            }
        }

        //得到X509对象
        X509* x509_root_obj = (X509*)_X509_RootCertStr2Object(root_cert);
        if (NULL == x509_root_obj){
            return 1;
        }
        //加入存储区
        if (0 == X509_STORE_add_cert(x509_store, x509_root_obj)){

            X509_free(x509_root_obj);
            return 1;
        }

        return 0;
    }

    UINT32 add_cert_chain(const char* cert_node)
    {
        //没有X509链,则先创建一个
        if (NULL == x509_chain){
            x509_chain = sk_X509_new_null();
            if (NULL == x509_chain)
            {
                return 1;
            }
        }

        //得到X509对象
        X509* x509_node_obj = (X509*)X509_Str2Object(cert_node);
        if (NULL == x509_node_obj){
            return 1;
        }
        //加入X509链
        if (0 == sk_X509_push(x509_chain, x509_node_obj)){

            X509_free(x509_node_obj);
            return 1;
        }

        return 0;
    }

    BOOL verify(X509* cert)
    {
        X509* pTemp = NULL;
        EVP_PKEY *pkey=NULL;
        // 每次都采取遍历证书的办法吧
        if (NULL != x509_chain){
            //获取链条总长度
            int nSize = sk_X509_num(x509_chain);
            for (int index = 0; index < nSize; index ++) {
                //取出相应的数值
                pTemp = sk_X509_value(x509_chain, index);
                //取出公钥
                pkey = X509_get_pubkey(pTemp);
                //测试能否验证过,能够验证过,递归下去验证
                if (X509_verify(cert, pkey)){
                    return verify(pTemp);
                }
            }
        }

        //如果链条中都验证不过,试一下根证书
        STACK_OF(X509_OBJECT) * root_obj = X509_STORE_get0_objects(x509_store);
        if (NULL == root_obj) {
            return FALSE;
        }
        int root_obj_num = sk_X509_OBJECT_num(root_obj);
        if (root_obj_num <= 0) {
            return FALSE;
        }

        X509 *root_cert = NULL;
        X509_OBJECT* x509_obj = NULL;
        for(int j = 0; j < root_obj_num; j ++){
            //取出OBJ
            x509_obj = sk_X509_OBJECT_value(root_obj, j);
            //取出证书
            root_cert = X509_OBJECT_get0_X509(x509_obj);
            //取出公钥
            pkey = X509_get_pubkey(root_cert);
            //测试能否验证过,能够验证过,返回成功
            if (X509_verify(cert, pkey)){
                return TRUE;
            }
        }

        return FALSE;
    }

    UINT32 verify_cert()
    {
        if (!x509_obj){
            return 1;
        }
        if (verify(x509_obj)) {
            return 0;
        }

        return 1;
    }
};


// 验证一个证书,输入根证书及相应的二级、三级...证书
UINT32 X509_Verify(const char *cert, const char* root_cert, UINT32 ulLevelNum, ...)
{
    UINT32 index = 0;
    va_list arg_ptr;
    const char* cert_node = NULL;
    Mini_X509_Verify_Class x509_verify;

    if (NULL == cert)
    {
        return 1;
    }
    if (NULL == root_cert)
    {
        return 1;
    }
    //最多支持6级
    if (ulLevelNum > 6)
    {
        return 1;
    }

    //存放待验证证书
    if (x509_verify.set_verify_cert(cert)) {
        return 1;
    }

    //存放根证书
    if (x509_verify.add_root_cert(root_cert)) {
        return 1;
    }

    va_start(arg_ptr, ulLevelNum);
    for(index = 0; index < ulLevelNum; index ++){
        cert_node = va_arg(arg_ptr, const char*);
        //存放证书链接
        if (x509_verify.add_cert_chain(cert_node)) {
            return 1;
        }
    }
    va_end(arg_ptr);

    //开始校验
    if (x509_verify.verify_cert()) {
        return 1;
    }

    return 0;
}

};

DEMO验证代码

BOOL LoadCertFileToStr(const char* strFile, std::string& strBuff)
{
    // 打开文件,读取内容
    FILE * hSrcfile = NULL;
    fopen_s(&hSrcfile, strFile,"rb");
    if (hSrcfile == NULL) {
        return FALSE;
    }
    //读取文件
    fseek (hSrcfile, 0, SEEK_END);   ///将文件指针移动文件结尾
    long size = ftell (hSrcfile); ///求出当前文件指针距离文件开始的字节数

    //分配内存
    strBuff.resize(size + 1, '\0');
    //重新开始读取文件
    fseek (hSrcfile, 0, SEEK_SET);

    //读取文件
    fread(&strBuff[0], size,1, hSrcfile);

    fclose(hSrcfile);

    return TRUE;
}

int main(int argc, char* argv[])
{
    //cwSL3D_test_sum();//测试能否成功调用所有接口

    //至少两个证书文件
    if (argc < 3) {
        std::cout << "缺少证书文件" << std::endl;
        return -1;
    }
    if (argc > 9) {
        std::cout << "证书文件过多,目前不支持" << std::endl;
        return -1;
    }

    //第一个证书文件,根证书文件
    std::string root_cert;
    if (!LoadCertFileToStr(argv[1], root_cert)) {
        std::cout << "读取根证书文件失败" << std::endl;
        return -1;
    }

    //第二个证书文件,待验证的证书
    std::string cert_file;
    if (!LoadCertFileToStr(argv[2], cert_file)) {
        std::cout << "读取待验证证书文件失败" << std::endl;
        return -1;
    }

    //后续的证书文件,证书链条上的文件
    std::string cert_chain[6];
    for(int index = 0; index < 6 && index < argc - 3; index ++) {
        if (!LoadCertFileToStr(argv[index + 3], cert_chain[index])) {
            std::cout << "读取证书文件失败:" << argv[index + 2] << std::endl;
            return -1;
        }
    }

    //直接调用接口验证吧
    if (X509_Verify(cert_file.c_str(), root_cert.c_str(), argc - 3, cert_chain[0].c_str(), cert_chain[1].c_str(), cert_chain[2].c_str(), cert_chain[3].c_str(), cert_chain[4].c_str(), cert_chain[5].c_str())) {
        std::cout << "验证证书文件失败" << std::endl;
        return -1;
    }

    return 0;
}

 

转载于:https://www.cnblogs.com/eaglexmw/p/11376639.html

mbedtls | 10 - 数字证书及 X.509 证书标准
Mculover666的博客(嵌入式)
10-04 6142
mbedtls系列文章 mbedtls | 01 - 移植mbedtls库到STM32的两种方法 mbedtls | 02 - 伪随机数生成器(ctr_drbg)的配置与使用 mbedtls | 03 - 单向散列算法的配置与使用(MD5、SHA1、SHA256、SHA512) mbedtls | 04 - 对称加密算法的配置与使用(AES算法) mbedtls | 05 - 消息认证码的配置与使用(HMAC算法、GCM算法) mbedtls | 06 - 非对称加密算法的配置与使用(RSA算法) mbe
[系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
杨秀璋的专栏
02-17 1万+
作者前文介绍了什么是数字签名,利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。这篇文章将详细介绍微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参
c语言写成的取x.509证书公钥
05-10
纯属上级考验,自己下的asn代码查看器,网上找的标准, 和x509证书编码规则
OPENSSL X509证书验证
在线笔记
10-08 6700
步骤: 1)初始化环境 a.新建证书存储区X509_STORE_new() b.新建证书校验上下文X509_STORE_CTX_new() 2)导入根证书 a.读取CA证书,从DER编码格式化为X509结构d2i_X509() b.将CA证书导入证书存储区X509_STORE_add_cert() 3)导入要校验证书test a.读取证书test,从DER编码格式化为X5
gmssl编程之签发X509证书
lt4959的专栏
03-12 3149
gmssl编程之签发证书前言命令行实现方式编程实现方式step1. 产生密钥对step2. 生成证书请求step3. 签发X509源代码 前言 最近由于项目需求,需要通过代码组装并签发标准X509格式数字证书。故而查询资料对gmssl/openssl中签发证书流程就行了一番研究,终于完成。先记录如下. 命令行实现方式 命令行方式下使用gmssl/openssl指令进行证书签发主要有三步:生成密钥对(私钥)、生成证书请求、签发证书。 具体小伙伴们可参考小编这篇文章:Gmssl生成自签名证书 编程实现方式 同理
gmssl编程之X509证书解析
lt4959的专栏
03-16 2329
gmssl编程之X509证书解析引言X509语法结构基本项证书版本证书序列号证书颁发者证书使用者证书有效期证书公钥扩展项基本约束密钥用途增强型密钥用途颁发者标识使用者标识CRL分发点颁发机构信息访问自定义私有扩展项 引言 最近空出了些时间整理了下以前的项目代码,看到了之前通过研究gmssl源码实现的一整套X509证书解析的代码,故记之以文。 (PS. 可能实现主要是为了满足项目需求,若有不对之处,还请指针ヾ( ̄▽ ̄)) 下面小编列举了下X509证书结构的证书基本项(Basic Certificate Fi
x509证书有效期校验过程_基于TLS1.2(GmSSL)
Baymini的博客
07-06 5549
服务端和客户端在进行TLS连接的过程中,需要判断当前时间是否在证书有效期内,若证书过期,程序如何处理?
证书链-证书校验
大力海棠的博客
02-03 8825
先来打开一个网站的证书链看看: 它的结构是,顶端根证书DigiCert,中间证书GeoTrust RSA CA 2018,和最下级的服务器证书*.csdn.net。为什么会有中间证书?原因上一篇日志说过,由于权威的CA机构数量不多,如果所有的服务器申请证书都将CSR证书请求文件发送到CA机构,那么CA机构的工作量就会非常大,因此CA机构采取授权二级机构的方式来管理证书申请,经授权的二级机构也...
vue2.0- 上传文件格式后缀校验--element-ui中el-upLoad组件-
weixin_62355341的博客
03-19 4431
1.绑定上传文件之前的钩子 2.在文件上传前钩子中写校验 file:自带的参数,关于上传文件的一些属性,文件name,type什么的 acceptFileType:自己定义了一个支持的文件格式的数组,方便后期更改。 type:为什么是file.name而不是file.type呢?就是因为有些文件type读取不到值的,name容错率更低, file.name.split("."):字符串转数组,以 . 分隔。所以变成了['文件名','后缀']例如['简历','docx'] ...
通过OpenSSL解码X509证书文件
密码开发者
06-29 1万+
通过OpenSSL解码X509证书文件,包括*.cer/*.p7b/*.pfx格式文件。
OpenSSL中文手册之X509库详解(未完待续)
liao20081228的博客
08-19 9806
OpenSSL之X509系列之1—引言和X509概述 【引言】 X509是系列的函数在我们开发与PKI相关的应用的时候我们都会用到,但是OpenSSL中对X509的描述并不是很多,鉴于些,我将以前工作与学习过程的经验整理出来,供大家参考,不用多走弯路,可以将精力集中在自己要处理的业务逻辑上,同时也希望更多的人参与到研究与整理信息安全的理论与技术中来,提高中国的科研与应用技术水平。提高中国
所有常见证书处理函数的实现
zhulianhai0927的专栏
04-01 1352
// 转换私钥编码格式          BOOL ConvertKeyFormat(char *oldKey,int oldKeyLen,int oldFormat,      char *newKeyFile,int newFormat)     {      EVP_PKEY *key=NULL;      BIO *biout=NULL;      int ret;    
X509证书详解
weixin_43408952的博客
05-11 2万+
X509证书全面解读
X509 证书 检验是否过期,私钥签名,公钥验签
yang6672的博客
07-19 6057
项目中用到的关于X509证书的一些操作, 里面lang3的依赖 &lt;dependency&gt;             &lt;groupId&gt;org.apache.commons&lt;/groupId&gt;             &lt;artifactId&gt;commons-lang3&lt;/artifactId&gt;             &lt;versio...
x509证书验证示例
chuicao4350的博客
10-20 1万+
openssl实现了标准的x509v3数字证书,其源码在crypto/x509和crypto/x509v3中。其中x509目录实现了数字证书以及证书申请相关的各种函数,包括了X509X509_REQ结构的设置、读取、打印和比较;数字证书的验证、摘要;各种公钥的导入导出等功能。x509v3目录主要实现了数字证书扩展项相关的函数。在进行身份认证时,首先要对发送给服务器进行认证的x509证书有效性进行验
通过OpenSSL解析X509证书基本项
热门推荐
密码开发者
07-08 6万+
通过OpenSSL库解析X509证书基本项,比如版本号、序列号、颁发者、使用者、有效期、公钥算法、证书用途等。
很棒的 openssl 证书解析例子
andylau00j的专栏
06-14 1万+
Parsing X.509 Certificates with OpenSSL and C 转自:https://zakird.com/2013/10/13/certificate-parsing-with-openssl While OpenSSL has become one of the defacto libraries for performing SSL
X.509证书的解析、验证及使用
liuxiaoxiaocsdn的博客
01-05 5万+
X.509证书的解析、验证及使用 1.概述 1.1 简介 X.509格式证书是被广泛使用的数字证书标准,是用于标志通讯各方身份信息的一系列数据。 1.2常见的X.509格式证书 .cer/.crt是用于存放证书,以二进制形式存放,不含私钥 .pem跟.crt/.cer的区别是它以Ascii来表示,可以用于存放证书或私钥。 .pfx/.p12用于存放个人证书/私钥,他通常包含保护密码,
15位CRC校验码生成方法及其传输正确性判断
资源摘要信息:"CRC-15校验码生成方法" 1. CRC(循环冗余校验)简介: 循环冗余校验(Cyclic Redundancy Check,简称CRC)是一种根据网络数据包或电脑文件等数据产生较短固定位数校验码的一种散列函数,其目的是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值