X509证书中RSA公钥的提取与载入

最新推荐文章于 2024-07-13 03:06:19 发布
最新推荐文章于 2024-07-13 03:06:19 发布
阅读量3.2k 收藏 5
点赞数 2
分类专栏: php 其他
php 同时被 2 个专栏收录
285 篇文章 0 订阅
订阅专栏
其他
102 篇文章 0 订阅
订阅专栏
  X509证书中RSA公钥的提取与载入  2006-08-31 18:07:29

分类:

   由于项目需要,我计划利用openssl开发一个基本的CA,实现证书的发放等功能。在项目模型中公私钥对是用户自己产生的,并且以16进制数的形似提交给CA。我们知道,通常利用openssl颁发证书时,公私钥对往往也是由openssl产生的,比如利用以下三个函数
RSA_generate_key
EVP_PKEY_assign_RSA
X509_set_pubkey
  便可以轻松搞定从密钥产生到载入证书的过程,而提取证书公钥只需
X509_get_pubkey
  如何将16进制形式的rsa公钥载证书的却没有相关介绍,经过几天的研究终于搞定了,贴出来与大家分享,我们可以利用下面的函数
RSA* d2i_RSAPublicKey(NULL,(const unsigned **) pp,int len)
  其中*pp指向存储公钥的内存单元,len指公钥的长度,请注意这里的公钥是指经过ASN.1编码的公钥,关于此编码方法,要想全面阐述是相当复杂的,但如果仅限于编rsa公钥,则会简单很多,以下是1024位rsa公钥的ASN.1编码的十六进制描述,共占据140bytes:
30 81 89 02 81 81 00 e3 8d 99 06 9f bd 9a c0 e5 
6a 5d 03 b3 cf 09 ca 8e c1 4a 6c f9 90 c2 46 e0 
89 44 69 cd a5 62 91 42 8a 5f e5 8f d3 fb 93 3f 
bc d7 6e 5e f2 80 41 a6 79 78 8e 4d 1d 3d 65 ad 
d4 36 9c c5 83 55 9d f1 bb 20 4c b7 6c 95 37 b0 
37 06 e3 40 fb 8f 74 c3 59 91 a2 bf a2 e1 db 99 
54 29 5f 9b a5 57 f5 40 7a 54 82 9c 84 d4 35 86 
14 38 69 14 60 f3 c6 c7 11 75 f2 43 2c 34 ed 89 
4a ae e1 9d 57 3e a1 02 03 01 00 01
  ASN.1采用Tag,Lenth,Value,编码方式,在此将整个编为一个sequence,可以理解为结构体,以30作为开始标志,第二位81代表后面有1字节代表长度,即89代表长度(若为82则代表后面有两字节代表长度,依次类推),转化成十进制为137,正好与后面的字节数吻合,从第四位02开始便是此sequence的内涵,相当于结构体的元素,一般来说sequence往往需要嵌套,相当于结构体嵌结构体,但对公钥的sequence来说,此处仅有一层。
  第四位02代表一下的内容为bit流,同样紧随其后的81代表有一字节代表长度,第六位的81代表长度为129,即从00开始直到最后一行a1此为129字节,去掉前面的00,余下128位便是rsa公钥的N值,最后5个字节同样是bit流,以02开始,03表示长度为3,最后的01 00 01 便是rsa公钥的E值。
  关于为什么要在N值前补00,这可能是ASN.1的规定,若bit流的前四bit十六进制值小于8就要在在最前补零,看下面的例子
30 81 88 02 81 80 32 8d 99 06 9f bd 9a c0 e5 6a 
5d 03 b3 cf 09 ca 8e c1 4a 6c f9 90 c2 46 e0 89 
44 69 cd a5 62 91 42 8a 5f e5 8f d3 fb 93 3f bc 
d7 6e 5e f2 80 41 a6 79 78 8e 4d 1d 3d 65 ad d4 
36 9c c5 83 55 9d f1 bb 20 4c b7 6c 95 37 b0 37 
06 e3 40 fb 8f 74 c3 59 91 a2 bf a2 e1 db 99 54 
29 5f 9b a5 57 f5 40 7a 54 82 9c 84 d4 35 86 14 
38 69 14 60 f3 c6 c7 11 75 f2 43 2c 34 ed 89 4a 
ae e1 9d 57 3e a1 02 03 01 00 01
N的前四bit为0x3小于8,因此无需补零。
  关于什么情况下要在tag值之后用8X标明有几位代表length,我的理解是,如果length的前四bit大于8或超过一字节,则必需用8X标明,否则不用。
  言规正传,了解了rsa公钥的编码规则,我们便可以方便的将用其他工具产生的rsa公钥编为openssl可接受的码型,从而完成公钥的导入,对于公钥的提取,同样有函数
int i2d_RSAPublicKey(RSA *,(const char **))
  返回值为公钥的长度,当然是经ASN.1编码后的。
  完成了bit流与RSA的转化,剩下的工作便有很轻松了,在此在介绍几种简便方法,可以直接在bit与EVP_PKEY之间转化:
  导出:
  len=i2d_RSAPublicKey(pkey->pkey.rsa,(const char**)pp);
  导入要多几步:
  pkey->save_type=6;
  pkey->type=EVP_PKEY_type(6);
  pkey->pkey.rsa=d2i_RSAPublicKey(NULL,(const char**)pp,len);
  其中pkey的定义为EVP_PKEY *pkey;
  导入过程中前两行的作用是设定采用的密码算法为rsa,若采用bit-〉rsa-〉pkey模式,这个工作由EVP_PKEY_assign_RSA替我们做了。
  我接触openssl4个月了,以上我的经验总结,欢迎大家批评指正。
zhangfeng1133
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java读取证书公钥
小橋夜雪的博客
09-05 4464
方式1:使用javax.security.cert.X509Certificate进行解析 [java] view plain copy URL url = Demo.class.getClassLoader().getResource("C000024.crt");   //证书路径   System.out.println("公钥所在路径:"+url.getFile());   X50...
Openssl RSA使用n e d q p等私钥指数生成私钥
Leo-夜空的博客
10-10 2242
openssl rsa加解密函数操作,使用私钥指数生成私钥
X509证书RSA公钥提取载入 pem key
anddy926的专栏
05-17 1万+
转载地址:http://hi.baidu.com/ehxanwmqkpbcnsq/item/233b48d35b3f841820e25043     由于项目需要,我计划利用openssl开发一个基本的CA,实现证书的发放等功能。在项目模型公私钥对是用户自己产生的,并且以16进制数的形似提交给CA。我们知道,通常利用openssl颁发证书时,公私钥对往往也是由openssl产生的,比如利用
X509证书解析C语言实现
06-06
1、完整的X509证书解析方案,C语言实现; 2、内含测试程序,在Linux环境下进入目录后make即可编译,已经在ubuntu16.04环境下编译测试OK; 4、已经在扫码POS认证得到应用,解析出证书的序列号、公钥; 5、漂亮的解析ASN1(TLV数据格式)算法及完整解析X509证书逻辑 6、支持对der/pem格式的证书解析 7、内含base64编码/解码的C语言代码
java从cer文件获取公钥
最新发布
weixin_41363399的博客
07-13 95
获取cer文件公钥 在Java,我们经常需要使用公钥加密或验证签名。有时,我们可能需要从一个证书文件(cer文件)获取公钥。在本文,我们将介绍如何通过Java代码来从cer文件获取公钥。 什么是cer文件 cer文件是一种用于存储证书信息的文件格式,通常包含了证书公钥证书是一种数字证明,用于证明某个实体的身...
X.509证书公钥编码原则
游走的山鸡的博客
05-08 920
RSA* d2i_RSAPublicKey(NULL,(const unsigned **) pp,int len)  其*pp指向存储公钥的内存单元,len指公钥的长度,请注意这里的公钥是指经过ASN.1编码的公钥,关于此编码方法,要想全面阐述是相当复杂的,但如果仅限于编rsa公钥,则会简单很多,以下是1024位rsa公钥的ASN.1编码的十六进制描述,共占据140bytes:30 81 89...
.net X509Certificate2 私钥加密,公钥验证
ljz1985dd的博客
09-10 6905
.net X509Certificate2 私钥加密,公钥验证 公钥验证 var cer = new X509Certificate2(path); if (cer != null)//获取公钥 { RSACryptoServiceProvider pubkey = (RSACryptoServ...
公钥基础设施(PKI)的原理与实现
# 1. PKI基础概念 公钥基础设施(PKI)是一种基于公钥密码学体系的安全体系...PKI的主要组成部分包括:数字证书证书颁发机构(CA)、注册机构(RA)、证书存储库(Certificate Repository)、证书吊销列表(CRL)、
【Linux学习】SSL证书及openssl常用命令
午后阳光
12-08 800
是由国及国以外地域多家数字证书颁发机构( CA,Certificate Authority)。SSL证书服务将服务从HTTP转换成HTTPS,实现网站或移动应用的身份验证和数据加密传输。将已签发的证书安装到Web服务器后,则Web服务将会通过HTTPS加密协议来传输数据。
VBA调用.NET下System.Security.Cryptography命名空间实现常用的加密解密算法
zjq592767809的博客
07-07 1419
目录1.摘要算法1.1 MD系列1.1.1 MD51.2 SHA系列1.2.1 SHA11.2.2 SHA2561.2.3 SHA3841.2.4 SHA5121.3 HMAC系列1.3.1 HMAC-MD51.3.2 HMAC-SHA11.3.3 HMAC-SHA2561.3.4 HMAC-SHA3841.3.5 HMAC-SHA5122.对称加解密法2.1 DES加解密2.2 3DES加解密2.3 AES加解密3.非对称加解密法3.1 RSA加解密 1.摘要算法 1.1 MD系列 1.1.1 MD5 P
安全SOCKET(SSL)实现方法
01-21
/* ========================================================================================= // 利用OpenSSL库对Socket传输进行安全加密(RSA+AES) // 1. 利用RSA传输AES生成密钥所需的Seed(32字节BUF) // 2. 利用AES_encrypt/AES_decrypt对Socket上面的数据报文进行AES对称性加密 // --- // * 理论上只需要AES就能保证全部流程,但由于AES加密所需要的AES-KEY是一个结构 // * 这个一个结构,如果通过网络进行传输,就需要对它进行网络编码,OpenSSL里面没有现成的API // * 所以就引入RSA来完成首次安全的传输,保证Seed不会被窃听 // * 同样,只使用RSA也能完成全部流程,但由于RSA的处理效率比AES低, // * 所以在业务数据传输加密上还是使用AES // --- // 下面的代码包含了上述传输加密流程所需的所有步骤(OpenSSL部分) // 在实际的Socket应用开发时,需要将这些步骤插入到Client/Server网络通信的特定阶段 // --- // 为能完成代码的编译和执行,需要先安装OpenSSL执行库及开发库 // 以Debian为例,需要安装openssl 和 libssl-dev // 编译命令: g++ -o rsa-encrypt rsa-encrypt.cpp -lcrypto // --- // 所需的OpenSSL主要的API及功能描述 // 1. RSA_generate_key() 随机生成一个RSA密钥对,供RSA加密/解密使用 // 2. i2d_RSAPublicKey() 将RSA密钥对里面的公钥提出到一个BUF,用于网络传输给对方 // 3. d2i_RSAPublicKey() 将从网络传过来的公钥信息生成一个加密使用的RSA(它里面只有公钥) // 4. RSA_public_encrypt() 使用RSA公钥对数据进行加密 // 5. RSA_private_decrypt() 使用RSA的私钥对数据进行加密 // 6. AES_set_encrypt_key() 根据Seed生成AES密钥对的加密密钥 // 7. AES_set_decrypt_key() 根据Seed生成AES密钥对的解密密钥 // 8. AES_encrypt() 使用AES加密密钥对数据进行加密 // 9. AES_decrypt() 使用AES解密密钥对数据进行解密 // --- // 一个典型的安全Socket的建立流程, 其实就是如何将Server随机Seed安全发给Client // -- C: Client S:Server // C: RSA_generate_key() --> RSAKey --> i2d_RSAPublicKey(RSAKey) --> RSAPublicKey // C: Send(RSAPublicKey) TO Server // S: Recv() --> RSAPublicKey --> d2i_RSAPublicKey(RSAPublicKey) --> RSAKey // S: Rand() --> Seed --> RSA_public_encrypt(RSAKey, Seed) --> EncryptedSeed // S: Send(EncryptedSeed) TO Client // C: Recv() --> EncryptedSeed --> RSA_private_decrypt(RSAKey, EncryptedSeed) --> Seed // --- 到此, Client和Server已经完成完成传输Seed的处理 // --- 后面的流程是它们怎样使用这个Seed来进行业务数据的安全传输 // C: AES_set_encrypt_key(Seed) --> AESEncryptKey // C: AES_set_decrypt_key(Seed) --> AESDecryptKey // S: AES_set_encrypt_key(Seed) --> AESEncryptKey // S: AES_set_decrypt_key(Seed) --> AESDecryptKey // --- Client传输数据给Server // C: AES_encrypt(AESEncryptKey, Data) --> EncryptedData --> Send() --> Server // S: Recv() --> EncryptedData --> AES_decrypt(AESDecryptKey, EncryptedData) --> Data // --- Server传输数据给Client // S: AES_encrypt(AESEncryptKey, Data) --> EncryptedData --> Send() --> Client // C: Recv() --> EncryptedData --> AES_decrypt(AESDecryptKey, EncryptedData) --> Data / ========================================================================================= */
Nginx架构及配置详解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-10 5264
概述 Nginx采用C进行编写,是俄罗斯程序员开发的一款轻量级的可构建Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器的软件, Nginx服务器是一个高性能的HTTP和反向代理web服务器,同时也可提供了IMAP/POP3/SMTP服务。nginx常用作跑静态和做负载反向代理,动态php交给apache处理,因后者比较稳定,jsp交给tomcat、resin或jboss。n......
C#实现RSA公钥加密私钥解密、私钥加密公钥解密以及Pcks12、X509证书加解密、签名验签
热门推荐
sky 胡萝卜星星
01-25 1万+
RSA的私钥签名公钥验签可以见http://blog.csdn.net/starfd/article/details/51917916,所以这里就没提供对应代码,具体代码如下: using Org.BouncyCastle.Asn1; using Org.BouncyCastle.Asn1.Pkcs; using Org.BouncyCastle.Asn1.X509; ...
解析X509证书
迷茫的小莱
08-19 3218
原文:http://hi.baidu.com/lidhcn/item/5476d292a0710eda1a49df60 1.从磁盘上的证书文件读取证书数据 unsigned char* pbX509Data; // 证书数据    unsigned long ulX509DataLen; // 证书数据长度  2.获取CertContext    PCCERT_CONTEXT pCer
RSA算法生成2048位公私钥
qq_42889895的博客
05-21 1万+
RSA生成2048位公私钥 包含公钥私钥的生成和base64加密解密,需要的朋友拿走! public class RSAUtils { /** * 密钥长度 于原文长度对应 以及越长速度越慢 */ private final static int KEY_SIZE = 2048; /** * 用于封装随机产生的公钥与私钥 */ private static Map<Integer, String> keyMap = new Has
利用OpenSSL库对Socket传输进行安全加密(RSA+AES)
awsl0000000的专栏
06-11 1670
利用OpenSSL库对Socket传输进行安全加密(RSA+AES)  1. 利用RSA安全传输AES生成密钥所需的Seed(32字节)  2. 利用AES_encrypt/AES_decrypt对Socket上面的业务数据进行AES加密/解密  理论上只需要AES就能保证全部流程,但由于AES加密所需要的AES-KEY是一个结构。 这个一个结构,如果通过网络进行传输,就需要对它进行网络
java openssl socket_转利用OpenSSL库对Socket传输进行安全加密(RSA+AES)
weixin_39572409的博客
02-16 451
分类:网络与安全利用OpenSSL库对Socket传输进行安全加密(RSA+AES)1. 利用RSA安全传输AES生成密钥所需的Seed(32字节)2. 利用AES_encrypt/AES_decrypt对Socket上面的业务数据进行AES加密/解密理论上只需要AES就能保证全部流程,但由于AES加密所需要的AES-KEY是一个结构。 这个一个结构,如果通过网络进行传输,就需要对它进行网络编码...
d2i_X509 载入der文件返回为空
Aragorn_XH的博客
05-28 4973
在安装好OPENSSL之后,就可以通过命令行进行生成证书操作。网上有很多的帖子,但是不乏
java RSA 公钥与String类型互相转换
06-13
在 Java ,可以使用 `java.security.Key` 接口来表示 RSA 公钥,而 `java.lang.String` 类型则是常见的字符串类型。可以通过以下步骤将 RSA 公钥与字符串类型互相转换: 1. 将 RSA 公钥转换为字符串类型 ```java // 假设 publicKey 是已经生成的 RSA 公钥 String publicKeyString = Base64.getEncoder().encodeToString(publicKey.getEncoded()); ``` 2. 将字符串类型转换为 RSA 公钥 ```java // 假设 publicKeyString 是保存的 RSA 公钥字符串 byte[] publicKeyBytes = Base64.getDecoder().decode(publicKeyString); X509EncodedKeySpec publicKeySpec = new X509EncodedKeySpec(publicKeyBytes); KeyFactory keyFactory = KeyFactory.getInstance("RSA"); PublicKey publicKey = keyFactory.generatePublic(publicKeySpec); ``` 需要注意的是,在字符串类型和 RSA 公钥之间进行转换时,通常需要进行 Base64 编码和解码。同时,还需要使用 `java.security.spec.X509EncodedKeySpec` 类来表示 RSA 公钥的规范。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值