项目中遇到使用Openssl验证证书链的问题,在网上找了很长时间,发现这方面的资料很少,通过多方努力,总算实现了基本功能,为了给大家提供一下参考,本人实现了一个验证证书链的类,以供参考,由于本人也是刚刚接触Openssl,如果有不正确的地方,请大家多多指导
/************************************************************************/
/* VerifyDCChain.h */
/************************************************************************/
#ifndef VERIFYDCCHAIN_H_
#define VERIFYDCCHAIN_H_
#include <openssl/bio.h>
#include <openssl/err.h>
#include <openssl/x509.h>
#include <openssl/x509v3.h>
#include <openssl/pem.h>
#include <openssl/crypto.h>
#include <string>
#include <iostream>
using namespace std;
class VerifyDCChain
{
public:
VerifyDCChain();
~VerifyDCChain();
/*
* 初始化证书链堆栈m_chain
* @param[in] certChains 证书链中各个证书文件名数组
* @param[in] num 证书链中证书个数
*/
int Init(const string* certChains, const int num);
/*
* 使用给定的证书链验证叶子证书
* @param[in] certFile 需要验证的叶子证书文件名
*/
int verify(const char* certFile);
private:
/*
* 加载证书文件
* @param[in] certFile 需要加载的证书文件名
*/
X509* load_certfile(const char* certFile);
private:
X509* m_leaf;
STACK_OF(X509)* m_chain;
};
#endif
/************************************************************************/
/* VerifyDCChain.cpp */
/************************************************************************/
#include "VerifyDCChain.h"
VerifyDCChain::VerifyDCChain():m_leaf(NULL), m_chain(NULL)
{
CRYPTO_malloc_init();
OpenSSL_add_all_algorithms();
}
VerifyDCChain::~VerifyDCChain()
{
if(m_leaf != NULL)
{
X509_free(m_leaf);
}
if (m_chain !=NULL)
{
sk_X509_free(m_chain);
}
}
int VerifyDCChain::Init(const string* certChains, const int num)
{
int ret = 0;
X509* temp = new X509;
m_chain = sk_X509_new_null();
// 注意此处加载证书链中证书的顺序没有要求,因为
// 在X509_verify_cert()函数中会对证书链中的证书
// 进行排序
for (int i = 0; i < num; i++)
{
temp = load_certfile(certChains[i].c_str());
sk_X509_push(m_chain, temp);
}
return 1;
}
int VerifyDCChain::verify(const char* certFile)
{
int ret = 0;
X509_STORE *store=NULL;
X509_STORE_CTX ctx;
m_leaf = new X509();
//创建X509_store对象,用来存储证书、撤销列表等
store=X509_STORE_new();
// 载入叶子证书
m_leaf = load_certfile(certFile);
//设置验证标记 都验证那些项 X509_V_FLAG_CRL_CHECK_ALL表示全部验证
X509_STORE_set_flags(store,X509_V_FLAG_CRL_CHECK_ALL);
//初始化CTX 这个类就是所谓的上下文 该类收集完必要的信息数据 可以进行验证
// 此处X509_STORE_CTX_init最后一个参数为NULL,表示不加载证书撤销列表CPL
if(!X509_STORE_CTX_init(&ctx,store ,m_leaf,NULL))
{
ret = 0;
goto end;
}
if(m_chain == NULL)
{
cout<<"加载证书链失败!/n"<<endl;
ret = 0;
goto end;
}
else
{
//将证书链存入CTX
X509_STORE_CTX_trusted_stack(&ctx, m_chain);
}
//证书链式验证
if(1 == X509_verify_cert(&ctx))
ret = 1;
else
ret = 0;
end:
X509_STORE_CTX_cleanup(&ctx);
if(store)X509_STORE_free(store);
return ret;
}
X509* VerifyDCChain::load_certfile(const char* certFile)
{
X509* cert = NULL;
BIO* in = NULL;
if(certFile==NULL)
goto end;
in = BIO_new_file(certFile,"r");
if(in==NULL)
goto end;
//将IO以PEM格式读入到X509对象
cert = PEM_read_bio_X509(in,NULL,NULL,NULL);
if(cert == NULL)
goto end;
end:
if(in)BIO_free(in);
return cert;
}
/************************************************************************/
/* test.cpp */
/************************************************************************/
#include "VerifyDCChain.h"
#include <iostream>
using namespace std;
void main(void)
{
VerifyDCChain m_check;
// 注意此处加载证书链中证书文件名的顺序没有要求,
// 因为在X509_verify_cert()函数中会对证书链中的
// 证书进行排序
string certChains[4] = {"5.crt", "4.crt", "3.crt", "2.crt"};
m_check.Init(certChains, 4);
if (1 == m_check.verify("1.crt"))
{
cout<<"OK!"<<endl;
}
else
{
cout<<"ERROR!"<<endl;
}
}
8254
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
