openssl 用根证书验证一个用户证书

最新推荐文章于 2024-08-19 10:35:16 发布
最新推荐文章于 2024-08-19 10:35:16 发布
阅读量6.3k 收藏 6
点赞数

#include <iostream>
#include <openssl/x509v3.h>
#include <openssl/pem.h>

using namespace std;

#define USER_CERT "用户证书路径"                // 这里保存的是pem格式证书
#define CA_CERT "根证书路径"


int main()
{
 SSLeay_add_all_algorithms();

 X509_STORE_CTX *ctx = NULL;          // 证书存储区句柄
 X509_STORE *pCaCertStore = NULL;     // 证书存储区
  X509 *pCert = NULL;                  // X509 证书结构体,保存用户证书
  X509 *pCaCert = NULL;                // X509 证书结构体,保存根证书
  X509_CRL *Crl = NULL;                // X509_CRL 结构体,保存CRL
  STACK_OF(X509) *CertStack = NULL;

 BIO * pbio = NULL;

 pbio = BIO_new_file(USER_CERT,"r");
 pCert = PEM_read_bio_X509(pbio,NULL,NULL,NULL);
 if(pCert == NULL)
 {
  cout<<"读取用户证书失败!"<<endl;
  return -1;
 }
 BIO_free(pbio);
 pbio = NULL;

 pbio = BIO_new_file(CA_CERT,"r");
 pCaCert = PEM_read_bio_X509(pbio,NULL,NULL,NULL);
 BIO_free(pbio);
 pbio = NULL;
 if(pCaCert == NULL)
 {
  cout<<"打开根证书失败"<<endl;
  return -1;
 }

    pCaCertStore = X509_STORE_new();     // 新建X509 证书存储区

    X509_STORE_add_cert(pCaCertStore,pCaCert);     // 添加根证书到证书存储区

    // 设置检查CRL 标志位,如果设置此标志位,则检查CRL ,否则不检查CRL 。

 // 读取CRL文件
    Crl = PEM_read_bio_X509_CRL(pbio,NULL,NULL,NULL);
    if (Crl==NULL)
 {
        X509_free(pCaCert);
  cout<<"读取吊销列表文件失败"<<endl;
        return -1 ;
    }
 BIO_free(pbio);
 pbio = NULL;

    X509_STORE_set_flags(pCaCertStore,X509_V_FLAG_CRL_CHECK);
     
    X509_STORE_add_crl(pCaCertStore,Crl);    // 添加CRL 到证书存储区
  
    ctx = X509_STORE_CTX_new();    // 新建证书存储区句柄
  
    int ret = X509_STORE_CTX_init(ctx,pCaCertStore,pCert,CertStack);   // 初始化根证书存储区、用户证书1

    if (ret != 1)
    {
       cout<<"X509_STORE_CTX_init err"<<endl;

       X509_free(pCert);
       X509_free(pCaCert);
       X509_STORE_CTX_cleanup(ctx);
       X509_STORE_CTX_free(ctx);
       X509_STORE_free(pCaCertStore);
       return -1 ;
    }
    // 验证用户证书
    ret = X509_verify_cert(ctx); 
    if (ret != 1)
    {
       cout<<"verify cer err.error="<<ctx->error<<"info:"<<X509_verify_cert_error_string(ctx->error)<<endl;
    }

    // 释放内存
    X509_free(pCert);
    X509_free(pCaCert);
    X509_STORE_CTX_cleanup(ctx);
    X509_STORE_CTX_free(ctx);
    X509_STORE_free(pCaCertStore);

 cout<<"OK!"<<endl;

 return 0;
}

wzsy
关注
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
在网络安全中,OpenSSL一个强大的安全套接层 (SSL) 工具包,它包含了各种用于处理加密通信所需的工具,包括生成证书、密钥以及执行加密操作。本文将详细介绍如何使用 OpenSSL 创建和管理CA证书、服务器证书和...
X509数字证书
好习惯成就伟大
11-16 5293
主要函数 1) X509_STORE_add_cert 将证书添加到X509_STORE中。 1)X509_STORE_add_crl 将crl添加到X509_STORE中。 2)void X509_STORE_set_flags(X509_STORE *ctx, long flags) 将flags赋值给ctx里面的flags,表明了验证证书时需要验证哪些项。 4) X509_TRUST_set_default 设置默认的X509_T...
openssl X509_verify_cert
好习惯成就伟大
12-02 4421
#include <openssl/x509.h> int X509_verify_cert(X509_STORE_CTX *ctx); DESCRIPTION The X509_verify_cert() function attempts to discover and validate a certificate chain based on parameters inctx. A complete description of the process is containe...
openssl查看证书公钥 openssl 验证证书和密钥
最新发布
eagle89的专栏
08-19 1211
openssl查看证书公钥 openssl 验证证书和密钥
x509证书验证
08-19 1056
X509_verify_cert函数负责用来验证证书的有效性,函数原型如下int X509_verify_cert(X509_STORE_CTX *ctx),验证成功返回1,失败返回其他值,失败的原因可以通过long nCode = X509_STORE_CTX_get_error(ctx);const char * pChError = X509_verify_cert_error_s...
Linux(openssl):X509_verify通过ca证书的public key验证证书的签名
风静如云的博客
11-29 876
提供了方法用于通过ca证书的public key验证证书的签名。将其中创建server.cer和ca.cer拷贝到本地。可以看到证书通过了ca的签名认证。
x509证书有效期校验过程_基于TLS1.2(GmSSL)
Baymini的博客
07-06 5452
服务端和客户端在进行TLS连接的过程中,需要判断当前时间是否在证书有效期内,若证书过期,程序如何处理?
openssl命令操作证书链实例
09-06
在PKI系统中,证书链是一种验证数字证书的方式,它由一系列相连的证书构成,每个证书都由其上一级证书签名,直到到达一个被广泛信任的证书证书通常由权威的证书颁发机构(CA)持有,它们的公钥被预装在大多数...
CA.zip_certificates_openssl 证书_数字证书
09-24
2. 生成证书请求:使用`openssl req`命令创建一个证书签名请求(CSR),包含公共信息和公钥。 3. 签发证书:如果作为CA,可以使用`openssl x509`命令对CSR进行签名,生成证书。 4. 非自签名:若不是CA,可以将CSR...
利用openssl自制CA证书
09-13
本教程将深入探讨如何利用开源工具openssl创建自定义的证书颁发机构(CA),并实现将CA证书安装到浏览器的受信任证书存储区,以供自定义网络服务使用。 首先,我们需要了解openssl工具。OpenSSL一个强大的安全...
ca.rar_CA_ca派发自宿主_ca证书_openssl CISOCA_证书
09-22
"openssl CISOCA"表明这个过程使用了开源的OpenSSL库,这是一个广泛使用的加密和证书管理工具。 描述中提到的"可以实现一个简单的CA发放证书更新证书等等功能"进一步确认了这个压缩包包含的资料或程序能够帮助用户...
openssl基本原理 + 生成证书 + 使用实例
huang714的专栏
10-15 3354
公司一个项目要进行交易数据传输,因为这个项目银行那边也是刚刚开始启动,所有的支持只有一个传输字段的说明文档,好吧,总的有人做事不是嘛,于是接口开发正式展开,第一步的难点就是加密解密,我选择使用OpenSSL. OpenSSL初接触的人恐怕最难的在于先理解各种概念   公钥/私钥/签名/验证签名/加密/解密/非对称加密   我们一般的加密是用一个密码加密文件,然后解密也用同样的密码.这很好理解,这个是对称加密.而有些加密时,加密用的一个密码,而解密用另外一组密码,这个叫非对称加密,意思就是加密解密的密码
OpenSSLX509证书操作函数
zqt520的专栏
05-25 1万+
现有的证书大都采用X。509规范,主要同以下信息组成:版本号、证书序列号、有效期、拥有者信息、颁发者信息、其他扩展信息、拥有者的公钥、CA对以上信息的签名。 OpenSSL实现了对X。509数字证书的所有操作。包括签发数字证书、解析和验证证书等。 涉及证书操作的主要函数有验证证书验证证书链、有效期、CRL)、解析证书(获得证书的版本、序列号、颁发者信息、主题信息、公钥、有效期等)。 主
所有常见证书处理函数的实现
zhulianhai0927的专栏
04-01 1332
// 转换私钥编码格式          BOOL ConvertKeyFormat(char *oldKey,int oldKeyLen,int oldFormat,      char *newKeyFile,int newFormat)     {      EVP_PKEY *key=NULL;      BIO *biout=NULL;      int ret;    
Openssl 对x509证书有效性进行验证
wangsifu2009的专栏
08-26 1万+
在进行身份认证时,首先要对发送给服务器进行认证的x509证书有效性进行验证,在Openssl中,可以用一个API接口可以实现:int X509_verify_cert(X509_STORE_CTX *ctx);     接口中形参是X509_STORE_CTX(X509证书库上下文)类型,在X509证书库上下文中,存在一个X509证书库和一个验证的X509证书,可以加入信任的证书链,也可以加入
OPENSSL X509证书验证
eyucham的专栏
02-13 3841
openssl实现了标准的x509v3数字证书,其源码在crypto/x509和crypto/x509v3中。其中x509目录实现了数字证书以及证书申请相关的各种函数,包括了X509和X509_REQ结构的设置、读取、打印和比较;数字证书验证、摘要;各种公钥的导入导出等功能。x509v3目录主要实现了数字证书扩展项相关的函数。 在进行身份认证时,首先要对发送给服务器进行认证的x509证书有效性...
openssl证书验证
热门推荐
Netfilter
04-01 1万+
使用openssl验证证书链可以用以下命令:debian:/home/zhaoya/openssl#openssl verify -CAfile ROOT_CERT USER_CERT其中的ROOT_CERT可以包含很多证书,可以用cat命令将多级的ca证书合并到一个文件里面,然后程序启动以后会加载ROOT_CERT,ROOT_CERT会在内存中形成一个堆栈结构,各个证书的顺序和文件里面的
OpenSSL证书操作
火雨(Nick)
12-20 2736
OpenSSL证书操作
Openssl X509_STORE_CTX系列函数
好习惯成就伟大
11-16 3134
DESCRIPTION These functions initialise anX509_STORE_CTXstructure for subsequent use by X509_verify_cert(). X509_STORE_CTX_new() returns a newly initialisedX509_STORE_CTXstructure. X509_STORE_CTX_cleanup() internally cleans up anX509_STORE_CTXstruc...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值