通过OpenSSL解码X509证书文件

最新推荐文章于 2023-03-22 15:34:24 发布
最新推荐文章于 2023-03-22 15:34:24 发布
阅读量352 收藏 1
点赞数

        在Windows平台下。假设要解析一个X509证书文件,最直接的办法是使用微软的CryptoAPI。

可是在非Windows平台下,就仅仅能使用强大的开源跨平台库OpenSSL了。一个X509证书通过OpenSSL解码之后,得到一个X509类型的结构体指针。

通过该结构体,我们就能够获取想要的证书项和属性等。

        X509证书文件,依据封装的不同。主要有下面三种类型:

*.cer:单个X509证书文件,不私钥,能够是二进制和Base64格式。该类型的证书最常见;

*.p7b:PKCS#7格式的证书链文件。包括一个或多个X509证书。不含私钥。

通常从CA中心申请RSA证书时。返回的签名证书就是p7b格式的证书文件;

*.pfx:PKCS#12格式的证书文件,能够包括一个或者多个X509证书,含有私钥,一般有password保护。通常从CA中心申请RSA证书时。加密证书和RSA加密私钥就是一个pfx格式的文件返回。

        以下,针对这三种类型的证书文件,使用OpenSSL进行解码,得到相应的X509结构体指针。须要注意的是,演示样例代码中的证书文件内容都是指二进制数据,假设证书文件本身使用的Base64格式。从文件读取之后,须要将Base64格式的内容转化为二进制数据,才干使用以下的解码函数。

一、解码CER证书文件

        CER格式的文件最简单,仅仅须要调用API d2i_X509()就可以。

演示样例代码例如以下(lpCertData为二进制数据):

m_pX509 = d2i_X509(NULL, (unsigned char const **)&lpCertData, ulDataLen);
if (m_pX509 == NULL) 
{
	return CERT_ERR_FAILED;
}

二、解码P7B证书文件

        因为P7B是个证书链文件,理论上能够包括多个X509证书。可是实际应用中,往往仅仅包括一个文件。所以我们仅仅处理第一个证书。

演示样例代码例如以下:

int rv = 0;
int nid = 0;
PKCS7* p7 = NULL;
STACK_OF(X509) *certs = NULL;
BIO* bio = BIO_new(BIO_s_mem());
// 解码p7b内容
rv = BIO_write(bio, lpCertData, ulDataLen);
p7 = d2i_PKCS7_bio(bio, NULL);
BIO_free(bio);
// 获取P7的详细格式
nid = OBJ_obj2nid(p7->type);
if(nid == NID_pkcs7_signed) 
{
    certs = p7->d.sign->cert;
} 
else if(nid == NID_pkcs7_signedAndEnveloped) 
{
    certs = p7->d.signed_and_enveloped->cert;
}
// 仅仅支持单证书的p7b
m_pX509 = sk_X509_value(certs, 0);
if (m_pX509 == NULL) 
{
    return CERT_ERR_FAILED;
}
        如在特殊的情况下。须要处理整个证书链中的全部证书。则仅仅须要循环调用sk_X509_value()知道返回为NULL为止。

三、解码PFX证书文件

        解码PFX证书时,实际上是获取X509证书、私钥数据和CA证书链一系列对象,同一时候须要校验PFX的password。演示样例代码例如以下:

int rv = 0;
PKCS12 *p12 = NULL;
EVP_PKEY *pkey = NULL;
STACK_OF(X509) *ca = NULL;
BIO *bio; 
// 解码P12内容
bio = BIO_new(BIO_s_mem());
rv = BIO_write(bio, lpCertData, ulDataLen);
p12 = d2i_PKCS12_bio(bio, NULL);
BIO_free_all(bio); 
// 获取证书对象
rv = PKCS12_parse(p12, lpscPassword, &pkey, &m_pX509, &ca);
if (!rv || !m_pX509)
{
	rv = CERT_ERR_FAILED;
	goto FREE_MEMORY;
}
// 释放内存
FREE_MEMORY:
PKCS12_free(p12);
EVP_PKEY_free(pkey);
sk_X509_free(ca);

        至此。三种常见证书文件的解码以完毕,通过解码得到的证书上下文结构体指针m_pX509。通过该指针就能够解析证书的项和扩展属性了。

详细的解析方法,将在兴许的Blog中逐一介绍。

相关博文:通过OpenSSL解析证书基本项

weixin_33862041
关注
OpensslX509系列
05-03
X509是系列的函数在我们开发与PKI相关的应用的时候我们都会用到,但是OpenSSL中对X509的描述并不是很多。初学者可能对openssl实现X509证书不太了解,文档可以帮助大家尽快上手。
使用OpenSSL转换X509 PEM与PFX证书
weixin_34248487的博客
09-25 297
PKCS(Public Key Cryptography Standards) PKCS12:定义了包含私钥与公钥证书(public key certificate)的文件格式。私钥采密码(password)保护。常见的PFX就履行了PKCS#12。   X509(PEM格式的)转PFX格式: openssl pkcs12 -export -inkey test.key -in test.ce...
使用OpenSSL工具制作X.509证书的方法及其注意事项总结
cheung10086的博客
11-14 810
如何使用OpenSSL工具生成根证书与应用证书 一、步骤简记 //生成顶级CA的公钥证书和私钥文件,有效期10年(RSA1024bits,默认) opensslreq-new-x509-days3650-keyoutCARoot1024.key-outCARoot...
联盟链系列 - 用Openssl颁发X.509证书
搬砖魁首的博客
09-14 2489
交互式 生成 X.509证书 (1)Root CA 生成CA的私钥 openssl genrsa -out ca/ca-prikey.pem 2048 生成CA的公钥 openssl rsa -in ca/ca-prikey.pem -pubout -out ca/ca-pubkey.pem 生成CA的根证书 # 创建证书请求 openssl req -new -out ca/ca-req.csr -key ca/ca-prikey.pem # 证书内容可选填 (其它 一路回车
通过OpenSSL解析X509证书基本项
热门推荐
密码开发者
07-08 6万+
通过OpenSSL库解析X509证书基本项,比如版本号、序列号、颁发者、使用者、有效期、公钥算法、证书用途等。
C语言实现X509证书解析
02-22
3. **解码证书**:将证书数据解码为`X509`结构体。如果是PEM格式,可以使用`PEM_read_X509()`;如果是DER格式,可以使用`d2i_X509()`。这两个函数都会返回一个指向`X509`结构体的指针。 4. **解析序列号**:X509...
通过OpenSSL获取X509证书的HASH(指纹)值
密码开发者
08-07 1万+
介绍使用OpenSSL获取X509证书的HASH(指纹)值方法。
如何使用OpenSSL读取RSA、X509和PKCS12证书
sqqqqq77的博客
09-19 2836
如何使用OpenSSL读取RSA、X509和PKCS12证书
ASN1文件查看(X509证书
03-01
Asn1View: a free tool to view asn1-decode file,or base64 decoded. this current is a beta version. author: i,liukang,a programmer of china,to develope pki system and pmi. my email is liukang@ncs-cyber.com.cn. please info if you find any bugs of it.
openssl简介-指令x509
yazhouren的专栏
07-26 1214
原文地址:http://www.blogjava.net/ycyk168/archive/2009/11/27/303952.html 用法:           openssl x509 [-inform DER|PEM|NET] [-outform DER|PEM|NET]            [-keyform DER|PEM][-CAform DER|PEM] [-CAkeyf
证书解码-01
吃不饱、力不足的博客
07-19 316
1. window 打开证书管理命令certlm.msc
opensslx509、crt、cer、key、csr、ssl、tls 这些都是什么
wuhuimin521的博客
05-07 352
opensslx509、crt、cer、key、csr、ssl、tls 这些都是什么? 今天尝试在mac机上搭建docker registry私有仓库时,杯具的发现最新的registry出于安全考虑,强制使用ssl认证,于是又详细了解linux/mac上openssl的使用方...
openssl简介-指令x509
allwtg
12-10 1万+
openssl的man中文文档(转)openssl简介-指令x509      用法:           openssl x509 [-inform DER|PEM|NET] [-outform DER|PEM|NET]            [-keyform DER|PEM][-CAform DER|PEM] [-CAkeyform DER|PEM]            [-in file
ROS OpenSSL X509 证书链构建及自定义验证
Lin__Mu的博客
03-22 2828
在WSL-Ubuntu20.04 基于 ROS、OpenSSL、C++实现X509证书链构建、发送接收及验证。本实验重庆大学国家卓越工程师学院实验。本人经验尚浅,如本文有任何错误或改进之处欢迎各位留言!😉如果觉得不错的话,可以✨一下吗?
openssl命令证书操作
啊渊的专栏
10-18 3419
目录 一、查看证书信息 二、RSA加解密 三、ECDSA签名校验实践 系统UOS操作系统,安装openssl 导出一张证书证书名字自己定义,一般都可以通过浏览器导出证书。 一、查看证书信息 #查看所有信息 证书问的文件名为baidu.com openssl x509 -noout -text -in baidu.com #查看证书包含的公钥 opensll x509 -in -pubkey baidu.com #查看那个CA机构签发了证书 openssl x509...
CSP:使用CryptoAPI解码X509证书内容
密码开发者
06-29 5087
通过CryptoAPI解码X509证书文件,包括*.cer/*.p7b/*.pfx格式文件
openssl 命令使用的日记本
springsu的专栏
06-20 1466
使用OpenSSL转换X509 PEM与PFX证书openssl pkcs12 -in user.pfx -nodes -out server.pemopenssl rsa -in server.pem -out server.keyopenssl x509 -in server.pem -out server.crtopenssl pkcs12 -in public.pfx -nodes -ou...
DER x509证书如何通过C语言解析
最新发布
09-23
DER(Distinguished Encoding Rules)是X.690标准定义的一种二进制编码规则,用于表示各类数据结构,包括X.509数字证书。在C语言中解析DER格式的X.509证书,一般涉及到使用开源库,如openssl或者libxml2,因为它们提供了函数来处理二进制证书数据。 以下是一个简单的步骤概述: 1. **引入库函数**:首先,你需要包含openssl库,例如`#include <openssl/x509.h>`。 2. **加载证书数据**:将从文件、网络或者其他来源获取到的DER格式的证书字符串读取到一个`unsigned char *`数组或者`const unsigned char * const der_data`中。 ```c unsigned char der_data[] = "..."; // 证书的二进制数据 size_t der_len = strlen(der_data); ``` 3. **解码证书**:调用`X509.Parse`或`PEM_read_X509`函数尝试解析证书,如果成功会返回一个`X509 *`类型的指针,代表解析后的X.509结构。 ```c X509 *cert = PEM_read_X509(NULL, der_data, NULL, NULL); ``` 4. **检查解析结果**:检查证书是否解析成功,通常会检查`cert`是否为NULL。 5. **访问证书信息**:解析完成后,你可以通过`X509_get_subject_name`,`X509_get_issuer_name`,`X509_get_notBefore`,`X509_get_notAfter`等函数获取证书的主体、签发者、有效期等信息。 ```c ASN1_NAME *subject = X509_get_subject_name(cert); ``` 6. **清理**:完成操作后,别忘了释放内存,如`X509_free(cert)`。 ```c X509_free(cert); ``` 请注意,这只是一个基本示例,实际使用中可能需要处理错误情况,并且对于复杂的证书,可能还需要遍历更多的内部结构来获取所有所需的信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值