openssl 不验证证书有效期_使用 Openssl 验证自签名证书

最新推荐文章于 2023-03-17 10:57:27 发布
最新推荐文章于 2023-03-17 10:57:27 发布
阅读量846 收藏
点赞数
文章标签: openssl 不验证证书有效期
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39856269/article/details/111484569
版权
本文介绍了在iOS中使用OpenSSL库验证自签名证书的过程,包括编译静态库、加载证书、验证证书的实现代码,以及如何忽略证书有效期的验证。通过示例代码,展示了如何进行证书的加载、打印和验证。
摘要由CSDN通过智能技术生成

iOS的 security framework 框架前面已经介绍。这个框架提供有限的功能,使用它能做到的,比你想象的要少。笔者一直想找一个

iOS 下比较好的功能全面的安全算法库,结果却一无所获。不知道谁能介绍下这方面。

最终还是只有求助于闻名已久的Openssl library。

Openssl 确实十分强大,然而其糟糕文档仍让人难以满意。当然,网络上使用Openssl 的例子非常多,不过能写这个的似乎都是高手,必然跟菜鸟划清界限——如果你是一个菜鸟,高手是不会跟你解释每行代码分别都是什么意思。坚信求人不如求己,钻研了许久,终于写出了点能够运行的

Code。

主要参考的来源:一是Openssl 库中的源代码,一是这本书《Openssl编程》(赵春平

著)——说它是书可能有些勉强,因为没有得以出版(不知道出版社的编辑们看到这本书没?)。但它确实是本 Openssl 方面比较全面的介绍(难得的中文参考书),如果你想对

Openssl 有所了解,不妨把它找来看看(openssl.cn 论坛上)。

一、编译iOS Openssl 静态库

请参考《在你的iOS App 中使用 OpenSSL 库》。

二、在Xcode 项目中进行设置

同上

三、使用Openssl 验证

直接上代码:

#import

#import

void

loadCert(

NSString

*,

X509

*);

void

printX509(

X509

*);

void

verity(

X509

*,

NSString

*);

int

main(

int

argc,

char

*argv[]) {

NSAutoreleasePool

* pool = [[

NSAutoreleasePool

alloc

]

init

];

NSString

*file=

@"/Users/username/Desktop/client.cer"

;

//

新建一个

x509

结构

X509

*x=

X509_new

();

loadCert

(file,x);

printX509

(x);

//

开始验证

verity

(x,file);

//

释放结构体

X509_free

(x);

[pool

release

];

return

0

;

}

//

加载证书到

X509

结构

void

loadCert(

NSString

* string,

X509

* x){

NSData

* certData;

unsigned

char

buf[

4096

],*p;

int

len;

assert

(string!=

nil

);

//

读取证书文件

certData=[

NSData

dataWithContentsOfFile

:string];

assert

(certData!=

nil

);

len=certData.

length

;

// NSData-->uchar*

[certData

getBytes

:(

void

*)buf

length

:len];

// p-->buf[0]

p=buf;

//

buf

中的数据进行解码,并返回一个

X509

结构

d2i_X509

(&x,(

const

unsigned

char

**)&p,len);

}

//

打印

X509

结构

void

printX509(

X509

* x){

int

ret;

BIO

*b;

//

初始化一个文件

BIO

b=

BIO_new

(

BIO_s_file

());

//

把标准输出

stdout

指向这个文件

BIO

BIO_set_fp

(b,

stdout

,

BIO_NOCLOSE

);

//

X509

结构打印输出到文件

BIO

ret=

X509_print

(b,x);

//

释放流

BIO_free

(b);

}

//

验证自签名证书

void

verity(

X509

* x1,

NSString

* string){

int

i=

0

;

X509_LOOKUP

*lookup=

NULL

;

//

证书

store

结构体

X509_STORE

*cert_ctx;

//

证书

store

相关的上下文

X509_STORE_CTX

*csc;

//

构造

CA

X509_STORE

结构体,包含所有有效证书链和废止证书链,用于校验

cert_ctx=

X509_STORE_new

();

//

store

中加入一个搜索,可以查找单个的文件

lookup=

X509_STORE_add_lookup

(cert_ctx,

X509_LOOKUP_file

());

assert

(lookup!=

NULL

);

//

通过

lookup

加载

client.cer

内的证书(自签名)

i=

X509_LOOKUP_load_file

(lookup,[string

UTF8String

],

X509_FILETYPE_ASN1

);

assert

(i!=

0

);

//

flags

赋值给

ctx

里面的

flags,

表明了验证证书时需要验证哪些项

// flags

可以是:

//

X509_V_FLAG_IGNORE_CRITICAL

//

X509_V_FLAG_CB_ISSUER_CHECK

// X509_V_FLAG_CRL_CHECK

//

X509_V_FLAG_CRL_CHECK│X509_V_FLAG_CRL_CHECK_ALL

X509_STORE_set_flags

(cert_ctx,

X509_V_FLAG_CRL_CHECK_ALL

);

csc =

X509_STORE_CTX_new

();

if

(!

X509_STORE_CTX_init

(csc,cert_ctx

,x1,

NULL

))

{

NSLog

(

@"Can

NOT ctx init"

);

return

;

}

//

开始校验

i=

0

;

i=

X509_verify_cert

(csc);

X509_STORE_CTX_free

(csc);

if

(i)

NSLog

(

@"cert

OK"

);

else

{

NSLog

(

@"cert

error"

);

}

}

先搞个有效证书,client.cer,放在你的桌面上。运行程序,控制台打印:

cert OK

如果证书失效了(比如把证书有效期改为无效),控制台则打印:

cert error

weixin_39856269
关注
使用OpenSSL生成/签发证书的原理、流程与示例
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥和证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书链3 生成自签名证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
基于OpenSSL时间签名验证
FlySpace随笔
03-31 8198
首先自建CA,并生成时间签名证书. REM 生成CA证书 openssl req -new -x509 -keyout ca.key -out ca.crt REM 生成时间签名证书 openssl genrsa -des3 -out tsakey.pem 1024 REM 去除私钥密码
openssl验证证书有效期_OpenSSL 常用函数——证书操作
weixin_26805451的博客
12-28 1098
X。509规范,主要同以下信息组成:版本号、证书序列号、有效期、拥有者信息、颁发者信息、其他扩展信息、拥有者的公钥、CA对以上信息的签名OpenSSL实现了对X。509数字证书的所有操作。包括签发数字证书、解析和验证证书等。涉及证书操作的主要函数有验证证书(验证证书链、有效期、CRL)、解析证书(获得证书的版本、序列号、颁发者信息、主题信息、公钥、有效期等)。主要函数1、DER编码转换为内部结构...
openssl验证证书有效期_怎样查看SSL证书有效期
weixin_39711959的博客
12-18 618
.方法一:直接浏览器上查看1、使用浏览器访问你的站点域名,然后单击地址栏上面的锁图标进行查看2、点击“证书信息”进行查看方法二:在服务端使用 Openssl 工具进行查看当服务端是搭建在Centos上,用 xshell 或者 putty 工具登录后,进入证书目录,使用 openssl 命令进行查看:[llmode@cert]# cd /usr/ssl/cert[llmode@cert]# open...
openssl验证证书有效期_https证书有效期检查shell脚本
weixin_33404919的博客
01-28 228
#!/bin/bash# 检测https证书有效期source /etc/profilewhile read line; doecho "====================================================================================="echo "当前检测的域名:" $lineend_time=$(echo | timeou...
使用java实现rfc3161,openssl验证用自签名证书签名的RFC3161时间
weixin_29638987的博客
03-11 492
使用openssl从rfc 3161 timestampreq生成了一个rfc3161 timestampresp。因此,我使用了自签名CA证书和自签名CA使用以下命令颁发的TSA证书:openssl ts -reply -queryfile request.tsq -signer TSAcert.pem -out response.tsr已创建响应。openssl ts -reply -tex...
openssl命令查看证书有效期_使用 openssl 生成证书
weixin_34266290的博客
12-29 6742
一、openssl 简介openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。官网:https://www.openssl.org/source/构成部分密码算法库密钥和证书封装管理功能SSL通信API接口用途建立 RSA、DH、DSA key 参数建立 X.509 证书证书签名请求(CSR)和CRLs(证书回收列表)...
openssl命令查看证书有效期_linux下使用openssl检测PE文件数字签名证书是否有效...
weixin_42128537的博客
02-02 2207
展开全部第一个坑: 有效62616964757a686964616fe78988e69d8331333335343964期windows在判断证书是否有效时不检测证书有效期, 即使该证书超过有效期好几年了, 只要没有被吊销, 微软仍然认为它是有效的. 但在 openssl 提供的 X509_verify_cert 函数会验证证书有效期, 因此需要注释掉验证有效期的那部分代码并重新编译 open...
openssl命令查看证书有效期_kubeadm初始化k8s集群延长证书过期时间
weixin_32558527的博客
02-02 3327
前言kubeadm初始化k8s集群,签发的CA证书有效期默认是10年,签发的apiserver证书有效期默认是1年,到期之后请求apiserver会报错,使用openssl命令查询相关证书是否到期。以下延长证书过期的方法适合kubernetes1.14、1.15、1.16、1.17、1.18版本查看证书有效时间openssl x509 -in /etc/kubernetes/pki/ca.crt ...
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
最新发布
01-16
在上述命令中,`-days` 参数指定了证书有效期,`-set_serial` 用于设置证书序列号,确保每个证书的唯一性。 在实际应用中,证书通常会被转换成PEM或DER格式,以便于不同系统和软件使用。例如,将证书和私钥合并到...
openssl签名验证
07-19
openssl签名验证
设置mysql密码永不过期_详解源码安装MySQL
weixin_39629075的博客
11-20 256
一、安装单实例1、升级openssl#查看版本openssl version#openssl 安装包 openssl-1.1.0j.tar.gz #下载地址https://www.openssl.org/source/cd /usr/local/openssl-1.1.1./configmakemake install#受影响的文件夹#/usr/local/bin#/usr/local/inclu...
ssl证书会过期吗
qq_45071734的博客
06-04 344
有人会问为什么ssl证书会过期? ssl证书有助于两个方面:加密和身份验证。后者是证书到期的一大原因。所有ssl证书都会认证某些东西,甚至于验证证书也会验证服务器。与任何形式的身份验证一样,您偶尔需要重新验证正在使用的信息,以确保其准确性。 在互联网上尤其如此。对于发布可信证书证书颁发机构来说,确保它们用于对服务器和组织进行身份验证的信息尽可能地准确是非常重要的。 随着网络的快速发展,ssl证书...
沃通SSL精灵,让网站HTTPS永不过期
chuisanchi9688的博客
08-14 364
告别HTTP明文“裸奔”时代 百度、阿里巴巴、必应等越来越多的互联网巨头相继启用全站HTTPS加密,保护用户数据和隐私安全,逐步告别HTTP明文“裸奔”时代。受巨头示范作用影响,越来越多的网站意识到启用HTTPS加密的重要性。接下来要考虑的,就是如何快速部署SSL证书,启用HTTPS的问题...
AttributeError: module ‘lib‘ has no attribute ‘X509_V_FLAG_CB_ISSUER_CHECK‘
热门推荐
世上再无张显宗
11-08 1万+
bug解决
jupyter 启动报错解决办法 AttributeError: module ‘lib‘ has no attribute ‘X509_V_FLAG_CB_ISSUER_CHECK‘
Francie001的博客
03-17 1633
jupyter 启动报错解决办法
X509数字证书
好习惯成就伟大
11-16 5285
主要函数 1) X509_STORE_add_cert 将证书添加到X509_STORE中。 1)X509_STORE_add_crl 将crl添加到X509_STORE中。 2)void X509_STORE_set_flags(X509_STORE *ctx, long flags) 将flags赋值给ctx里面的flags,表明了验证证书时需要验证哪些项。 4) X509_TRUST_set_default 设置默认的X509_T...
Python 使用 scrapy shell 网站 进入命令窗口时候报错 AttributeError: module ‘lib‘ has no attribute
Deng872347348的博客
10-23 5263
Python 使用 scrapy shell 网站 进入命令窗口时候报错 AttributeError: module 'lib' has no attribute
openssl签发证书
吴东方的博客
12-28 6619
导言: 有时候,使用SSL协议是自己内部服务器使用的,这时可以不必去找第三方权威的CA机构做证书,可以做自签证书 使用openssl签发证书分为四个步骤:生成密钥对、生成证书请求、创建一个root CA、签发证书 一、生成密钥对 1、生成rsa密钥 (1)生成私钥 使用命令openssl genrsa: openssl genrsa -out private.key 2048 如果想为这个key值加密,可使用命令: openssl genrsa -aes128 -out private
OpenSSL证书验证深度解析
内容涉及证书验证的关键要素,如有效期签名验证证书用途、名字比较以及扩展项约束。同时,文章详细阐述了OpenSSL中的证书验证机制,包括X509_verify_cert和internal_verify两个关键函数的作用,以及如何使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值