通过OpenSSL解析X509证书基本项

最新推荐文章于 2024-02-29 17:37:17 发布
最新推荐文章于 2024-02-29 17:37:17 发布
阅读量6.5w 收藏 92
点赞数 17
分类专栏: OpenSSL 文章标签: OpenSSL X509证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyfzy/article/details/46798965
版权

       在之前的文章“通过OpenSSL解码X509证书文件”里,讲述了如何使用OpenSSL将证书文件解码,得到证书上下文结构体X509的方法。下面我们接着讲述如何通过证书上下文结构体X509,获得想要的证书项。本文先讲述如何获取证书的基本项,后面还有文章介绍如何获取证书的扩展项。

       下面的代码,都是假定已经通过解码证书文件、得到了证书上下文结构体X509。至于如何使用OpenSSL解码证书文件、得到证书上下文结构体X509,请阅读之前的文章。

        首先,我们看看关于证书结构体X509定义:

struct x509_st
{
	X509_CINF *cert_info;
	X509_ALGOR *sig_alg;
	ASN1_BIT_STRING *signature;
	int valid;
	int references;
	char *name;
	CRYPTO_EX_DATA ex_data;
	/* These contain copies of various extension values */
	long ex_pathlen;
	long ex_pcpathlen;
	unsigned long ex_flags;
	unsigned long ex_kusage;
	unsigned long ex_xkusage;
	unsigned long ex_nscert;
	ASN1_OCTET_STRING *skid;
	AUTHORITY_KEYID *akid;
	X509_POLICY_CACHE *policy_cache;
	STACK_OF(DIST_POINT) *crldp;
	STACK_OF(GENERAL_NAME) *altname;
	NAME_CONSTRAINTS *nc;
#ifndef OPENSSL_NO_RFC3779
	STACK_OF(IPAddressFamily) *rfc3779_addr;
	struct ASIdentifiers_st *rfc3779_asid;
#endif
#ifndef OPENSSL_NO_SHA
	unsigned char sha1_hash[SHA_DIGEST_LENGTH];
#endif
	X509_CERT_AUX *aux;
} /* X509 */;

typedef struct x509_cinf_st
{
	ASN1_INTEGER *version;		/* [ 0 ] default of v1 */
	ASN1_INTEGER *serialNumber;
	X509_ALGOR *signature;
	X509_NAME *issuer;
	X509_VAL *validity;
	X509_NAME *subject;
	X509_PUBKEY *key;
	ASN1_BIT_STRING *issuerUID;		/* [ 1 ] optional in v2 */
	ASN1_BIT_STRING *subjectUID;		/* [ 2 ] optional in v2 */
	STACK_OF(X509_EXTENSION) *extensions;	/* [ 3 ] optional in v3 */
	ASN1_ENCODING enc;
} X509_CINF;
      我们想要获取的证书基本项,有些就直接存在于这两个结构体中。
一、版本号

      通过解码证书文件,得到证书结构体m_pX509之后,可以通过函数X509_get_version()获取证书的版本。具体代码如下:

int ver = X509_get_version(m_pX509);
switch(ver)  	
{
	case 0:		//V1
		//...
	break;
	case 1:		//V2
		//...
	break;
	case 2:		//V3
		//...
	break;
	default:
		//Error!
	break;
}
需要注意的是,0代表V1;1代表V2;2代表V3。目前绝大多数证书都是V3版本。

二、序列号

      同样,有了m_pX509之后,调用函数X509_get_serialNumber()即可获得证书的序列号。只是该函数返回的是ASN1_INTEGER类型,需要转换后才能是我们平常看到的十六进制表示的序列号。具体实现函数如下:

ULONG COpenSSLCertificate::get_SN(LPSTR lptcSN, ULONG *pulLen)
{
	ULONG ulRet = CERT_ERR_OK;
	ASN1_INTEGER *asn1_i = NULL;
	BIGNUM *bignum = NULL;
	char *serial = NULL;

	if (!m_pX509)
	{
	    return CERT_ERR_INVILIDCALL;
	}
	if (!pulLen)
	{
		return CERT_ERR_INVALIDPARAM;
	}
	asn1_i = X509_get_serialNumber(m_pX509);
	bignum = ASN1_INTEGER_to_BN(asn1_i, NULL);
	if (bignum == NULL) 
	{
		ulRet = CERT_ERR_FAILED;
		goto FREE_MEMORY;
	}
	serial = BN_bn2hex(bignum);
    if (serial == NULL) 
	{
		ulRet = CERT_ERR_FAILED;
		goto FREE_MEMORY;
	}
    BN_free(bignum);
	if (!lptcSN)
	{
		*pulLen = strlen(serial) + 1;
		ulRet = CERT_ERR_OK;
		goto FREE_MEMORY;
	}
	if (*pulLen < strlen(serial) + 1)
	{
		ulRet = CERT_ERR_BUFFER_TOO_SMALL;
		goto FREE_MEMORY;
	}
    strcpy_s(lptcSN, *pulLen, serial);
	*pulLen = strlen(serial);
FREE_MEMORY:
    OPENSSL_free(serial);	
	return ulRet;
}

三、公钥算法(证书算法)

      要想获取证书公钥算法,需要先调用函数X509_get_pubkey()得到公钥属性结构体,然后通过type字段来判断公钥的算法类型。具体实现函数如下:

ULONG COpenSSLCertificate::get_KeyType(ULONG* pulType)
{
	EVP_PKEY *pk = NULL;
	stack_st_X509* chain = NULL;
	X509_EXTENSION *pex = NULL;
	
	if (!m_pX509)
	{
		return CERT_ERR_INVILIDCALL;
	}
	if (!pulType)
	{
		return CERT_ERR_INVALIDPARAM;
	}

	pk = X509_get_pubkey(m_pX509);
	if (!pk)
	{
		return CERT_ERR_FAILED;
	}

	if (EVP_PKEY_RSA == pk->type)
	{
		*pulType = CERT_KEY_ALG_RSA;
	}
	else if (EVP_PKEY_EC == pk->type)
	{
		*pulType = CERT_KEY_ALG_ECC;
	}
	else if (EVP_PKEY_DSA == pk->type)
	{
		*pulType = CERT_KEY_ALG_DSA;
	}
	else if (EVP_PKEY_DH == pk->type)
	{
		*pulType = CERT_KEY_ALG_DH;
	}
	else
	{
		return CERT_KEY_ALG_UNKNOWN;
	}		
	
	return CERT_ERR_OK;
}
目前常见的证书算法为RSA和ECC,ECC在国内又成为SM2。SM2是国家密码管理局基于椭圆算法(ECC)制定的国内非对称算法标准。

四、证书用途

      证书从用途来分,分为“签名证书”和“加密证书”两大类。“签名证书”的公钥用来验证签名,而“加密证书”的公钥则用来加密数据。我们可以通过调用X509中的ex_kusage字段来判断证书的用途,具体函数实现如下:

ULONG COpenSSLCertificate::get_KeyUsage(ULONG* lpUsage)
{
	ULONG lKeyUsage = 0;

	if (!m_pX509)
	{
		return CERT_ERR_INVILIDCALL;
	}
	if (!lpUsage)
	{
		return CERT_ERR_INVALIDPARAM;
	}

	*lpUsage = CERT_USAGE_UNKNOWN;
	
	//X509_check_ca() MUST be called!
	X509_check_ca(m_pX509);
	lKeyUsage = m_pX509->ex_kusage;
	if ((lKeyUsage & KU_DATA_ENCIPHERMENT) == KU_DATA_ENCIPHERMENT)
	{
		*lpUsage = CERT_USAGE_EXCH;<span style="white-space:pre">	</span>//加密证书
	}
	else if ((lKeyUsage & KU_DIGITAL_SIGNATURE) == KU_DIGITAL_SIGNATURE)
	{
		*lpUsage = CERT_USAGE_SIGN;<span style="white-space:pre">	</span>//签名证书
	}

	return CERT_ERR_OK;
}

五、签名算法

      证书的签名算法,是指证书用来签名时使用的算法(包含HASH算法)。签名算法用结构体X509中sig_alg字段来表示,可以通过sig_alg的子字段algorithm返回签名算法对象,从而得到签名算法的Oid。首先,签名算法的Oid常见得定义如下:

/*	Certificate siganture alg */
#define CERT_SIGNATURE_ALG_RSA_RSA			"1.2.840.113549.1.1.1"
#define CERT_SIGNATURE_ALG_MD2RSA			"1.2.840.113549.1.1.2"
#define CERT_SIGNATURE_ALG_MD4RSA			"1.2.840.113549.1.1.3"
#define CERT_SIGNATURE_ALG_MD5RSA			"1.2.840.113549.1.1.4"
#define CERT_SIGNATURE_ALG_SHA1RSA			"1.2.840.113549.1.1.5"
#define CERT_SIGNATURE_ALG_SM3SM2			"1.2.156.10197.1.501"

      获取签名算法Oid的具体实现函数如下:

ULONG COpenSSLCertificate::get_SignatureAlgOid(LPSTR lpscOid, ULONG *pulLen)
{
	char oid[128] = {0};
	ASN1_OBJECT* salg  = NULL;

	if (!m_pX509)
	{
		return CERT_ERR_INVILIDCALL;
	}
	if (!pulLen)
	{
		return CERT_ERR_INVALIDPARAM;
	}

	salg = m_pX509->sig_alg->algorithm;
	OBJ_obj2txt(oid, 128, salg, 1);
	if (!lpscOid)
	{
		*pulLen = strlen(oid) + 1;
		return CERT_ERR_OK;
	}
	if (*pulLen < strlen(oid) + 1)
	{
		return CERT_ERR_BUFFER_TOO_SMALL;
	}

	strcpy_s(lpscOid, *pulLen, oid);
	*pulLen = strlen(oid) + 1;
	return CERT_ERR_OK;
}
由于Windows对SM2/SM3算法还没有定义,所以对于ECC(SM2)证书,Windows直接显示签名算法的Oid:“1.2.156.10197.1.501”,如下图所示:

六、颁发者

      关于颁发者,我们可以通过调用函数X509_get_issuer_name()获取属性。不过该函数返回的是X509_NAME类型,需要调用函数X509_NAME_get_text_by_NID()将其转化为ASCII字符形式。具体通过下面函数实现:

ULONG COpenSSLCertificate::get_Issuer(LPSTR lpValue, ULONG *pulLen)
{
	int nNameLen = 512;
	CHAR csCommonName[512] = {0};
	X509_NAME *pCommonName = NULL;

	if (!m_pX509)
	{
		return CERT_ERR_INVILIDCALL;
	}
	if (!pulLen)
	{
		return CERT_ERR_INVALIDPARAM;
	}

	pCommonName = X509_get_issuer_name(m_pX509);
	if (!pCommonName)
	{
		return CERT_ERR_FAILED;
	}
	nNameLen = X509_NAME_get_text_by_NID(pCommonName, NID_commonName, csCommonName, nNameLen);
	if (-1 == nNameLen)
	{
		return CERT_ERR_FAILED;
	};	
	if (!lpValue)
	{
		*pulLen = nNameLen + 1;
		return CERT_ERR_OK;
	}
	if (*pulLen < (ULONG)nNameLen + 1)
	{
		return CERT_ERR_BUFFER_TOO_SMALL;
	}

	strcpy_s(lpValue, *pulLen, csCommonName);
	*pulLen = nNameLen;
	return CERT_ERR_OK;
}

七、使用者

      关于证书使用者,我们可以通过调用函数X509_get_subject_name)获取属性。同样,该函数返回的是X509_NAME类型,需要调用函数X509_NAME_get_text_by_NID()将其转化为ASCII字符形式。具体通过下面函数实现:

ULONG COpenSSLCertificate::get_SubjectName(LPSTR lpValue, ULONG *pulLen)
{
	int iLen = 0;
	int iSubNameLen = 0;
	CHAR csSubName[1024] = {0};
	CHAR csBuf[256] = {0};
	X509_NAME *pSubName = NULL;
	
	if (!m_pX509)
	{
		return CERT_ERR_INVILIDCALL;
	}
	if (!pulLen)
	{
		return CERT_ERR_INVALIDPARAM;
	}

	pSubName = X509_get_subject_name(m_pX509);
	if (!pSubName)
	{
		return CERT_ERR_FAILED;
	}
	
	ZeroMemory(csBuf, 256);
	iLen = X509_NAME_get_text_by_NID(pSubName, NID_countryName, csBuf, 256);
	if (iLen > 0)
	{
		strcat_s(csSubName, 1024, "C=");
		strcat_s(csSubName, 1024, csBuf);
		strcat_s(csSubName, 1024, ", ");
	}
	
	ZeroMemory(csBuf, 256);
	iLen = X509_NAME_get_text_by_NID(pSubName, NID_organizationName, csBuf, 256);
	if (iLen > 0)
	{
		strcat_s(csSubName, 1024, "O=");
		strcat_s(csSubName, 1024, csBuf);
		strcat_s(csSubName, 1024, ", ");
	}
	
	ZeroMemory(csBuf, 256);
	iLen = X509_NAME_get_text_by_NID(pSubName, NID_organizationalUnitName, csBuf, 256);
	if (iLen > 0)
	{
		strcat_s(csSubName, 1024, "OU=");
		strcat_s(csSubName, 1024, csBuf);
		strcat_s(csSubName, 1024, ", ");
	}
	
	ZeroMemory(csBuf, 256);
	iLen = X509_NAME_get_text_by_NID(pSubName, NID_commonName, csBuf, 256);
	if (iLen > 0)
	{
		strcat_s(csSubName, 1024, "CN=");
		strcat_s(csSubName, 1024, csBuf);
	}
	
	if (!lpValue)
	{
		*pulLen = strlen(csSubName) + 1;
		return CERT_ERR_OK;
	}
	if (*pulLen < strlen(csSubName) + 1)
	{
		return CERT_ERR_BUFFER_TOO_SMALL;
	}
	
	strcpy_s(lpValue, *pulLen, csSubName);
	*pulLen = strlen(csSubName);
	return CERT_ERR_OK;
}

八、有效期限

      要获取证书的有效期属性,需要通过调用函数X509_get_notBefore()和X509_get_notAfter()来实现。而且这两个函数返回的时间是time_t类型,需要转化为SYSTEMTIME类型。具体实现函数如下:

ULONG COpenSSLCertificate::get_ValidDate(SYSTEMTIME *ptmStart, SYSTEMTIME *ptmEnd)
{
	int err = 0;
	ASN1_TIME *start = NULL;
	ASN1_TIME *end = NULL;
	time_t ttStart = {0};
	time_t ttEnd = {0};
	LONGLONG nLLStart = 0;
	LONGLONG nLLEnd = 0;
	FILETIME ftStart = {0};
	FILETIME ftEnd = {0};

	if (!m_pX509)
	{
		return CERT_ERR_INVALIDPARAM;
	}

	start = X509_get_notBefore(m_pX509);
	end = X509_get_notAfter(m_pX509);
	
	ttStart = ASN1_TIME_get(start, &err);
	ttEnd = ASN1_TIME_get(end, &err);	
    nLLStart = Int32x32To64(ttStart, 10000000) + 116444736000000000;
    nLLEnd = Int32x32To64(ttEnd, 10000000) + 116444736000000000;

    ftStart.dwLowDateTime = (DWORD)nLLStart;
    ftStart.dwHighDateTime = (DWORD)(nLLStart >> 32);
    ftEnd.dwLowDateTime = (DWORD)nLLEnd;
    ftEnd.dwHighDateTime = (DWORD)(nLLEnd >> 32);

    FileTimeToSystemTime(&ftStart, ptmStart);
    FileTimeToSystemTime(&ftEnd, ptmEnd);

	return 0;
}

      至此,X509证书的基本项通过OpenSLL均已解析完毕!如需获取证书的扩展项或者公钥等数据,请关注后续博文。

yyfzy
关注
  • 17
    点赞
  • 92
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
openssl证书中提取公钥
啊渊的专栏
02-17 7488
openssl证书中提取公钥
通过go语言,在线生成、解析pkcs10格式的X509证书请求文件
11-24
通过go语言,在线生成、解析pkcs10格式的X509证书请求文件,支持rsa,sm2算法,底层使用openssl开源
openssl查看SSL证书的有效时间
最新发布
忍法阡陌的博客
02-29 527
有收到需求查看某SSL证书的有效时间区间,手头有对应的SSL证书,SSL的证书文件后缀为cer/pem/crt等都不打紧,都一样处理。
X509GetPubkeyLeak
07-17
X509GetPubkeyLeak 目演示了由调用 X509_get_pubkey 函数引起的内存泄漏。
openssl证书中提取公钥
weixin_42098322的博客
06-27 3550
如何用openssl证书中提取公钥
openssl命令x509证书操作详解
N阶二进制的博客
11-03 3832
OpenSSL 是一个开源的加密和解密工具,它提供了一系列命令来操作证书和密钥。以下是一些常用的 OpenSSL 命令,用于操作证书的详细解释:生成自签名证书是指在没有经过任何第三方证书颁发机构(CA,Certificate Authority)的认证下,由个人或组织自行创建和签名的数字证书。自签名证书可以用于安全通信,但在实际应用中,它们通常用于测试、开发和内部使用,而不是在公共网络中使用,因为它们没有受到可信任 CA 的验证,可能会引发安全问题。在使用自签名证书时,虽然可以加密通信,但客户端在连接时通常
openssl 解析证书
05-30
使用openssl 解析 证书信息。 主要功能获得颁发者,颁发给,证书有效期等信息。
X.509证书的编码及解析:程序解析以及winhex模板解析
weixin_34279061的博客
06-26 417
一、证书的整体结构:证书内容、签名算法、签名结果。 用ASN.1语法描述如下: Certificate::=SEQUENCE{ tbsCertificate TBSCertificate, signatureAlgorithm AlgorithmIdentifier, signatureValue BIT STRING } 其中,...
openssl 证书解析
huang714的专栏
10-15 2517
简单实用例子 openssl 解析x509证书 命令行打印证书细节: openssl x509 -noout -text -in cert.crt sudo apt-get install libssl-dev #debian based yum install openssl-devel #redhat based main.cpp #include <openssl/pem.h> #include <openssl/x509.h> #includ.
使用 OpenSSL 和 C 解析 X.509 证书
烫手的热山药的博客
11-24 5054
Parsing X.509 Certificates with OpenSSL and C Zakir Durumeric | October 13, 2013 While OpenSSL has become one of the defacto libraries for performing SSL and TLS operations, the library is surprisingly opaque and its documentation is, at times, abysmal. As
通过OpenSSL解码X509证书文件
热门推荐
密码开发者
06-29 1万+
通过OpenSSL解码X509证书文件,包括*.cer/*.p7b/*.pfx格式文件。
OpenSSL 解析P12格式证书文件
04-06
NULL 博文链接:https://jacky-dai.iteye.com/blog/1545241
openssl解析X509内存结构体总是失败
12-08
读出来的时候是base64编码的证书内容,想用openssl解析X509内存结构体总是失败。 操她吗的,后来发现是每隔64个字符就要换行,否则openssl就是解析不了。 并且要有头尾:-----BEGIN CERTIFICATE-----和-----END ...
php-cert-parser:简单的基于OpenSSL的X​​.509证书解析
05-11
使您可以解析X.509证书,以便能够从中提取一些属性并计算指纹。 原料药 例如,要从文件加载的证书中获取证书的到期日期,请执行以下操作: <?php use fkooman\X509\CertParser; $certParser = CertParser::...
x5092json:解析TLS X509证书; 输出JSON
05-25
x5092json 提供用于x509证书解析器和JSON序列化器。 此工具可用于创建一个经过分析的证书的大型数据。 提供命令行工具以及可导入模块。 到目前为止,已解析了超过4亿个证书。动机PyCA-Cryptography( )为Python...
openssl:R 的 OpenSSL 绑定
08-05
可以手动或通过 x509 证书创建和验证加密签名。 AES 可用于 cbc、ctr 或 gcm 模式进行对称加密; RSA 用于非对称(公钥)加密或 EC 用于 Diffie Hellman。 高级信封函数结合了 RSA 和 AES 来加密任意大小的数据。 ...
通过OpenSSL获取X509证书的HASH(指纹)值
密码开发者
08-07 1万+
介绍使用OpenSSL获取X509证书的HASH(指纹)值方法。
通过OpenSSL获取证书扩展属性之二:“密钥用法”和"增强型密钥用法"
密码开发者
09-10 1万+
介绍如何使用Openssl解析CA证书、获取“密钥用法”和“增强型密钥用法”扩展属性。
openssl 解析证书
12-01
以下是使用openssl解析证书的方法: 1. 查看证书信息 ```shell openssl x509 -noout -text -in cert.crt ``` 其中,cert.crt为证书文件名,该命令可以查看证书的详细信息,包括证书版本、序列号、颁发者、有效期、公钥信息等。 2. 查看证书请求信息 ```shell openssl req -noout -text -in cert.csr ``` 其中,cert.csr为证书请求文件名,该命令可以查看证书请求的详细信息,包括请求者信息、公钥信息等。 3. 查看私钥信息 ```shell openssl rsa -noout -text -in cert.key ``` 其中,cert.key为私钥文件名,该命令可以查看私钥的详细信息,包括私钥算法、模数、指数等。 4. 验证证书和私钥是否匹配 ```shell openssl x509 -noout -modulus -in cert.crt | openssl md5 openssl rsa -noout -modulus -in cert.key | openssl md5 ``` 其中,cert.crt为证书文件名,cert.key为私钥文件名,该命令可以验证证书和私钥是否匹配。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值