HTTPS之TLS证书

最新推荐文章于 2024-02-24 16:36:37 发布
最新推荐文章于 2024-02-24 16:36:37 发布
阅读量6.3k 收藏 17
点赞数 1
分类专栏: Computer Network
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zijikanwa/article/details/109725299
版权

文章目录

一. TLS概述

1. TLS概述

  1. TLS 握手的作用之一是身份认证),被验证的一方需要提供一个身份证明。在 HTTPS 的世界里,这个身份证明就是 「TLS 证书」,或者称为 「HTTPS 证书」。

    • 例如,我们在访问 https://www.youzan.com 时,浏览器会得到一个 TLS 证书,这个数字证书用于证明我们正在访问的网站和证书的持有者是匹配的,否则因为身份认证无法通过,连接也就无法建立。
      在这里插入图片描述

    • 浏览器得到的是一个证书的链表,这个链表叫证书链(Certificate Chain)。

2. HTTPS 协议栈与 HTTP 的唯一区别

  • HTTPS 多了一个安全层(Security Layer),即 TLS/SSL
  • SSL 是最早的安全层协议, TLSSSL 发展而来,下面我们统称 TLS
    v2-29fee3e54e584905453e69c3df133e05_1440w.jpg

3. TLS协议版本

  • OkHttp是android端最火热的一个轻量级框架,用于替代HttpUrlConnectionApache HttpClient
  • 它用一个 enum 类型来表示 TLS 协议的不同版本。可以看到最早的版本是 SSLv3,诞生于 1996 年,最新的版本是 TLSv1.3。
public enum TlsVersion {
	  TLS_1_3("TLSv1.3"), // 2016. (最新的版本)
	  TLS_1_2("TLSv1.2"), // 2008.
	  TLS_1_1("TLSv1.1"), // 2006.
	  TLS_1_0("TLSv1"),   // 1999.
	  SSL_3_0("SSLv3"),   // 1996.(最早的版本)
	  ;
	  final String javaName;
}

二. TLS证书格式

1. 概述

  1. 所有 CA 机构会遵守 X.509 规范来签发公钥证书(Public Key Certificate),证书内容的语法格式遵守 ASN.1,证书大致包含如下内容:
    在这里插入图片描述
  2. Certificate Issuer表示证书的签发者/颁发者。如访问网址 https://www.youzan.com[*.youzan.com]证书,它的签发者是它的父节点[GeoTrust RSA CA 2018]Issuer字段的内容是一组符合X.500规范的DN(Distinguished Name),其中DN是由逗号连接的相对专有名称(RDN,relative distinguished names)的序列。Issuer通常表示为:

Issuer: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=GeoTrust RSA CA 2018

属性名称属性值
DCdomainComponent
CNcommonName
OUorganizationUnitName
OorganizationName
STREETstreetAddress
LlocalityName
STstateOrProvinceName
UIDuserid

2. 示例:知乎网站证书解析(mac系统)

  1. 从浏览器导出网站的HTTPS证书到本地文件夹,网址为https://link.zhihu.com/?target=https%3A//www.youzan.com/。具体步骤,windows系统可以按照教程 (如何从浏览器导出HTTPS证书)完成,mac系统目前不知道如何导出。
  2. 将导出的证书文件拖入「Keychain Access」
    在这里插入图片描述
  3. 从 「Keychain Access」中导出证书,格式选择 pem
    在这里插入图片描述

-证书导出包含四种格式。但不知道为什么我导出的cer文件格式openssl解析失败。

证书:Certificate (.cer)
增强保密邮件:Privacy Enhanced Mail (.pem)
证书包Certificate Bundle (.p7b)
个人信息交换:Personal Information Exchange (.p12)

  1. terminal通过openssl命令查看证书内容

openssl x509 -in /Users/zijikanwa/*.zhihu.com.pem -text

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            0e:3c:c1:49:94:b3:e1:74:a6:34:54:d9:90:64:66:d7
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=GeoTrust RSA CA 2018
        Validity
            Not Before: Dec 25 00:00:00 2017 GMT
            Not After : Dec 24 12:00:00 2020 GMT
        Subject: C=CN, L=\xE5\x8C\x97\xE4\xBA\xAC\xE5\xB8\x82, O=\xE6\x99\xBA\xE8\x80\x85\xE5\x9B\x9B\xE6\xB5\xB7\xEF\xBC\x88\xE5\x8C\x97\xE4\xBA\xAC\xEF\xBC\x89\xE6\x8A\x80\xE6\x9C\xAF\xE6\x9C\x89\xE9\x99\x90\xE5\x85\xAC\xE5\x8F\xB8, OU=IT, CN=*.zhihu.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:a0:a8:71:88:cf:5e:1b:e6:c8:45:ed:60:89:ce:
                    d2:76:a0:af:03:a6:c1:18:bb:8c:8c:c7:cb:b6:93:
                    ce:46:4f:46:74:66:49:1a:80:2c:ae:4f:1b:db:c1:
                    5c:8d:ad:b6:23:06:dc:97:c0:d0:c4:7d:a9:f8:4e:
                    79:e4:b4:d1:ed:41:c3:52:87:6c:ac:f3:05:86:5f:
                    57:52:a0:d2:93:34:7c:6f:d5:4e:21:c4:7c:5b:be:
                    6f:b0:3e:ef:6c:4c:8f:90:f7:ae:50:c9:a0:b7:dd:
                    42:eb:c2:c0:58:0e:da:65:01:be:c1:43:6e:2f:f2:
                    59:fd:b6:c4:59:1f:cd:ee:af:55:44:06:c4:8b:6e:
                    b8:f7:1a:e1:ad:89:4a:0a:a2:9c:a3:a8:bc:65:41:
                    f3:7d:e0:29:03:fb:84:a3:da:7b:fb:c9:ec:87:aa:
                    87:5c:58:02:0e:02:d8:c1:cf:b1:1c:25:f7:df:ac:
                    0a:a6:7b:c5:5d:d0:51:e2:97:c6:ff:01:17:21:a6:
                    c0:fd:88:b1:a6:2d:aa:d0:4f:61:3c:35:13:dc:ff:
                    51:ce:2d:48:18:c3:cd:05:43:60:e2:9a:4c:01:55:
                    98:31:9d:f3:c4:4b:3b:49:17:d4:bd:0b:34:e1:24:
                    05:a7:48:87:49:69:77:76:d0:d3:f2:70:f2:e7:c0:
                    90:b1
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Authority Key Identifier: 
                keyid:90:58:FF:B0:9C:75:A8:51:54:77:B1:ED:F2:A3:43:16:38:9E:6C:C5

            X509v3 Subject Key Identifier: 
                31:63:1F:A1:0B:43:D7:A5:8C:3D:F6:2E:85:69:D4:E1:E3:56:91:46
            X509v3 Subject Alternative Name: 
                DNS:*.zhihu.com, DNS:zhihu.com
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 CRL Distribution Points: 

                Full Name:
                  URI:http://cdp.geotrust.com/GeoTrustRSACA2018.crl

            X509v3 Certificate Policies: 
                Policy: 2.16.840.1.114412.1.1
                  CPS: https://www.digicert.com/CPS
                Policy: 2.23.140.1.2.2

            Authority Information Access: 
                OCSP - URI:http://status.geotrust.com
                CA Issuers - URI:http://cacerts.geotrust.com/GeoTrustRSACA2018.crt

            X509v3 Basic Constraints: 
                CA:FALSE
    Signature Algorithm: sha256WithRSAEncryption
         54:73:e6:02:db:5d:49:30:4d:61:71:ac:ef:6d:f1:52:af:45:
         f2:0f:81:94:0b:5c:0e:bd:b6:c2:98:af:08:6c:11:45:25:e9:
         8d:7d:80:d8:3e:78:50:5d:f8:4d:bf:ef:6d:fd:8a:74:d9:6c:
         90:65:55:b6:d1:59:3a:07:25:42:6a:74:b0:dd:31:e2:a0:50:
         04:4a:03:fe:61:24:e7:74:33:c9:69:94:70:79:d9:89:20:c3:
         80:b2:e7:73:72:b6:73:00:10:8f:8e:25:0e:1f:41:b6:bc:86:
         da:d2:b4:ae:c7:b9:1d:80:fa:58:e7:ba:79:2c:ef:63:5a:96:
         af:03:22:98:78:58:57:9f:70:45:a3:0a:22:87:c3:ef:45:7d:
         2a:ed:d8:1b:38:2e:9e:d7:27:7e:53:d1:44:62:3d:cb:d0:e6:
         01:e6:3a:5c:86:8c:d5:b8:91:4c:d8:55:07:e6:23:03:71:23:
         ce:19:f6:4e:a4:ba:69:55:eb:d9:11:49:32:09:ee:b8:58:43:
         69:ff:51:6b:c6:17:7f:74:83:50:19:a0:99:79:64:6a:e0:ff:
         5b:f5:51:53:fb:22:3a:10:a4:4f:ed:25:b2:ca:cb:8a:1b:1e:
         bc:db:5d:46:95:31:fe:03:c8:cc:42:dc:b6:e4:29:d9:85:f9:
         6a:4e:39:d8
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

3. 通过openssl获取证书的含义

  1. 一个 证书(Certificate) 由 数据(Data) 和 签名(Signature) 两部分组成
  2. 数据(Data)包含内容如下
    • 证书版本号(Version):X.509v3
    • 序列号(Serial Number):一个 CA 机构内是唯一的,但不是全局唯一
    • 签名算法(Signature Algorithm):签名的计算公式为RSA(sha256(Data), IssuerPrivateKey)
    • 签发者(Issuer):DN(Distinguished Name)
    • 有效期(Validity):证书的有效期间 [Not Before, Not After]
    • 证书拥有者(Subject):也是一个 DN公钥长度一般是 2048bit,1024bit已经被证明不安全
    • 扩展字段(X509v3 extensions):证书所携带的域名信息会配置在 SAN 中(X509v3 Subject Alternative Name)
  3. 签名(Signature):位于证书最末尾,签名算法 sha256WithRSAEncryption 在 Data 域内已经指明 ,而 RSA 进行非对称加密所需的私钥(Private Key)是由 Issuer 提供。
    • Issuer 是一个可以签发证书的证书,由证书权威 CA 提供,CA 需要保证证书的有效性,而且 CA 的私钥需要绝密保存,一旦泄露出去,证书可能会被随意签发。
    • 生成签名的公式:Signature = RSA(sha256(Data), IssuerPrivateKey)

三. 证书链(Certificate Chain)

1. 背景

  • UA(如客户端/浏览器)拿到TLS证书之后,需要Issuer的公钥(Public Key)才能解码出Data的信息摘要。但是证书只携带了Issuer的DN,并没有公钥,那客户端是如何获取到公钥的?
    在这里插入图片描述

2. 概述

  • X.509 除了规范证书的内容之外,还规范了如何获取 CRL 以及 证书链(Certificate Chain) 的验证算法。

3. 背景问题的解释

  1. 在访问网址(https://www.youzan.com)时,浏览器并非只拿到一个证书,而是一个证书链:
DigiCert Global Root CA
	|__  GeoTrust RSA CA 2018
		|__  *.zhihu.com

  1. 证书「*.zhihu.com」的 签发者(Issuer)就是它的父节点「GeoTrust RSA CA 2018」。因为 UA(浏览器或操作系统)中会预先内置一些权威 CA签发的根证书(Root Certificate)或中间证书(Intermediate Certificate),例如上面的 「GeoTrust RSA CA 2018」「DigiCert Global Root CA」
    在这里插入图片描述

  2. 当获得证书链之后,我们就可以很轻松的往上回溯到被 UA 信任的证书,虽然 UA 内置的可能是中间证书(Intermediate Certificate)。

  3. 但是如果一个 End-Entity 证书即使回溯到跟证书(Root Certificate)也没有在 UA 的受信列表中找到,那么这个站点就会被标记为不安全。例如 12306 的主页被标记为 “Not Secure",因为它的根证书不被信任。
    在这里插入图片描述

参考资料

zijikanwa
关注
  • 1
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTPS CA证书TLS建立过程
09-20
自己在网上搜了好多资料,根据自己的理解整理了HTTPS、CA证书TLS建立的过程,简单画了个图
SSL/TLS协议原理与证书签名多种生成方式实践指南
WeiyiGeek 唯一极客IT知识分享
04-10 1745
本章目录:0x00 前言简述CA 认证原理PKI 公钥基础设施0x01 自签名SSL证书生成1.在线(脚本)生成2.OpenSSL 生成3.CFSSL 生成0x03 cfssl 使用实践0x00 前言简述简单快速了解HTTP、HTTPS、SSL、TLS概念:HTTP 是一个网络协议,是专门用来传输 Web 内容,大部分网站都是通过 HTTP 协议来传输 Web 页面、以及...
TLS握手证书链的校验
最新发布
chinamen1的博客
02-24 826
看一遍忘一遍,还是自己写一遍,看看这次能记多久。在TLS握手过程中,通过证书校验认证服务端的身份和交换加密秘钥,握手完成之后后续就可以进行加密数据传输。在浏览器地址栏上点击锁的图标,能打开查看证书的详细信息。首先可以看到证书包含了多个层级,最下层的是我们直接访问的网站的服务证书,最上层是根证书。每个证书都属于一个机构组织。除了根证书是由根CA自己签发给自己的,其他证书都是由上一级组织用上一级的证书签发出来的,所以形成了层级结构。点开细节可以看到证书的更多信息,主要看证书包含什么信息?
Java如何跳过https的ssl证书验证详解
08-25
主要介绍了Java跳过https的ssl证书验证的解决思路,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,下面我们来深入学习下吧
为 Horizon 7 设置 TLS 证书 的方案
04-19
《为 Horizon 7 设置 TLS 证书的方案》提供了一些示例来说明如何设置 TLS 证书以供 Horizon 7 服务器使 用。第一个方案演示如何从证书颁发机构获取签名 TLS 证书,并确保证书具有可供 Horizon 7 Server 使用 的格式。第二个方案说明了如何配置 Horizon 7 Server 来将 TLS 连接负载分流到中间服务器。
TLS原理及证书生成
zhypss的博客
06-10 3221
1、生成RSA密钥 > openssl genrsa -des3 -out mykey.pem 2048 或者: > openssl genrsa -out mykey.pem 2048 建议用2048位密钥,少于此可能会不安全或很快将不安全。 2、生成证书请求 > openssl req -new -key mykey.pem -out cert.csr cert.csr即一个证书请求文件,可以拿着这个文件去数字证书颁发机构(CA)申请数字证书。CA会给一个新的文件cacer
SSL、TLS协议格式入门学习
03-09
SSL、TLS协议格式入门学习 SSL(Secure socket Layer 安全套接层协议)指使用公钥和私钥技术组合的安全网络通讯协议。SSL协议是网景公司(Netscape)推出的至于WEB应用 的安全协议,SSL协议指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为 TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证,主要用千提高应用程序之间数据的安全性,对传送的数据进行加密 和隐藏,确保数据在传送中不被改变即确保数据的完整性。
TLS证书
AcTarjan的博客
10-15 823
证书的作用 TLS证书https协议用于验证服务器的身份,一般由权威机构CA(Certificate Authority)颁发。 证书的内容 证书 客户端向服务器发送https请求时 服务器会向客户端发送一个证书TLS证书) 客户端验证证书是否有效 ...
SSL证书/TLS证书是什么
热门推荐
donghaixiaolongwang的博客
01-29 1万+
A. SSL协议与TLS是什么?它们的功能是什么? 答:SSL(Security Socket Layer)是一种广泛运用在互联网上的资料加密协议;TLS是SSL的下一代协议。透过它我们可以: 1. 在互联网上传输加密过的资料以达到资安的目的。 2. 保持从端点A到端点B的传送路途中资料的完整性。 3. 透过SSL证书内的公共金钥加密资料传输至服务器端,服务器端用私密金钥解密来证明
HTTPS
tzl090940126的专栏
11-24 715
 要说清楚 HTTPS 协议的实现原理,至少需要如下几个背景知识。 1. 大致了解几个基本术语(HTTPS、SSL、TLS)的含义 2. 大致了解 HTTP 和 TCP 的关系(尤其是“短连接”VS“长连接”) 3. 大致了解加密算法的概念(尤其是“对称加密与非对称加密”的区别) 4. 大致了解 CA 证书的用途 考虑到很多技术菜鸟可能不了解上述背景,俺先用最简短的文字描述一下。如
HTTPS中的TLS(26)
GeekLee的博客
07-16 442
1. SSL 与 TLS 2. 从网络协议的角度理解 HTTPS 3. 从密码学的角度理解 HTTPS 3.1. TLS 工作流程 3.2. 密码基础 3.2.1. 伪随机数生成器 3.2.2. 消息认证码 3.2.3. 数字签名 3.2.4. 公钥密码 3.2.5. 证书 3.2.6. 密码小结 3.3. TLS 使用的密码技术 3.4. TLS 总结 4. RSA 简单示例 5...
微信小程序免费SSL证书httpsTLS版本问题的解决方案
03-29
4、HTTPS 服务器的 TLS 版本支持1.2及以下版本,一般就是1.0、1.1、1.2要同时支持这三个版本,一个也不能少,要不然就会出现下面这种情况 (此图片来源于网络,如有侵权,请联系删除! ) 5、微信小程序后台加上合法...
微信小程序 免费SSL证书httpsTLS版本问题的解决办法
08-31
主要介绍了微信小程序 免费SSL证书httpsTLS版本问题的解决办法的相关资料,需要的朋友可以参考下
HTTPS的SSL证书在服务端TLS协议中启用TLS1.2的小工具,推荐配置:TLSv1 TLSv1.1 TLSv1.2
01-15
在Windows系统中配置HTTPS的SSL证书在服务端TLS协议中启用TLS1.2,推荐配置:TLSv1 TLSv1.1 TLSv1.2,用于微信小程序报错。
SSL/TLS 介绍以及如何利用openssl生成证书
m0_58085501的博客
02-28 3148
TLS:Transport layer Security 传输层安全性,是一种加密协议。本文比较详细的介绍了TLS的基本工作流程。
传输层的安全协议——SSL/TLS,及HTTPS的工作原理
Neonline254的博客
11-09 4590
SSL/TLS协议是当今最流行的Web安全协议,它实现了两个应用进程之间的安全传输。 本文较为详细地介绍了TLSHTTPS的工作原理,并简单介绍了其中涉及的计算机网络和密码学知识。
HTTPS中的TLS
L170311的博客
05-01 4049
TLS 是一系列密码工具的框架,作为框架,它也是非常的灵活,体现在每个工具套件它都可以替换,即:客户端与服务端之间协商密码套件,从而更难的被攻破,例如使用不同方式的对称密码,或者公钥密码、数字签名生成方式、单向散列函数技术的替换等。
TLS 协议与 TLS 证书的生成、配置
巡山小妖008
12-22 3349
这里不详细说明 TLS 协议的内容,请另行查阅文档 画外:由于 RSA/ECC 两类非对称加密算法被广泛的应用在各类加密通讯中,因此下面说明的证书生成、签名过程,同样也适用于其他场景,比如 SSH 密钥对生成、JWT 密钥对生成等等。 TLS 协议 我们需要加密网络数据以实现安全通信,但是有一个现实的问题: 非对称加密算法(RSA/ECC 等)可以方便地对数据进行签名/验证,但是计算...
TLS初探(2)证书简介
jjxojm的专栏
07-29 3296
      证书可以理解为签发方信息、拥有者信息、公钥以及签名(由签发方私钥签名)的集合(当然还有额外信息)。校验证书是否可信,实际就是检验该证书是否是由合法的签发方签发,验证的方法就是首先通过签发方信息找到对应的签发方证书,利用签发方证书中的公钥去校验签名是否正确。        从上述验证方法可以看出,实际上证书是否可信是由其签发方的证书来进行校验的,而签发方的证书的可信是由上一层签发方的证...
mbedtls 解析证书
07-27
### 回答1: mbedtls是一款开源的专注于嵌入式设备的网络通信加密库,其中也包含了对证书的解析功能。mbedtls可以解析各种X.509格式的证书,并提供了相应的API来进行操作。 mbedtls库提供了以下几个函数来解析证书: - `mbedtls_x509_crt_parse`:用于将证书的DER或PEM格式的数据解析为X.509证书结构。 - `mbedtls_x509_crt_free`:用于释放解析后的证书结构所占用的内存。 - `mbedtls_x509_crt_info`:用于打印证书的基本信息,如版本号、序列号、有效期等。 - `mbedtls_x509_crt_verify_info`:用于打印验证证书时的信息,如公钥哈希、签名算法、颁布者等。 使用mbedtls解析证书的步骤如下: 1. 调用`mbedtls_x509_crt_init`函数初始化证书结构。 2. 调用`mbedtls_x509_crt_parse`函数解析证书数据,并将解析后的结构存储在证书结构中。 3. 调用`mbedtls_x509_crt_info`函数打印证书的基本信息。 4. 如果需要验证证书的合法性,可以使用`mbedtls_x509_crt_verify_info`函数打印验证时的信息。 5. 调用`mbedtls_x509_crt_free`函数释放证书结构所占用的内存。 需要注意的是,mbedtls仅提供了对证书的解析功能,并不负责证书的验证。如果需要验证证书的合法性,还需要调用其他函数来实现。此外,证书的解析需要提供证书的数据,可以是DER或PEM格式的数据。 总之,mbedtls提供了方便的API来解析证书,并且适用于嵌入式设备。通过调用相关的函数,可以轻松地将证书数据解析为证书结构,并进行相应的操作。 ### 回答2: mbedtls是一个轻量级的加密库,它提供了解析和验证证书的功能。 证书是用于加密和认证通信的数字凭证,常用于HTTPS、SSH等加密协议中。解析证书是指从证书文件中提取出证书中的各个属性信息,例如有效期、颁发者、公钥等。 使用mbedtls解析证书通常包括以下步骤: 1. 加载证书:将证书文件加载到内存中,可以使用mbedtls_x509_crt结构表示证书。 2. 解析证书:使用mbedtls_x509_crt_parse函数解析证书。这个函数会解析出证书中的各个属性信息,并将其存储在mbedtls_x509_crt结构中。 3. 验证证书:使用mbedtls_x509_crt_verify函数对证书进行验证。这个函数会验证证书的合法性,包括检查证书链、有效期、颁发者等,确保证书的可信度。 4. 提取证书信息:使用mbedtls_x509_crt_info函数可以从解析好的证书结构中提取出各个属性信息,如有效期、颁发者、公钥等。可以通过访问mbedtls_x509_name结构获取颁发者信息,通过访问mbedtls_x509_time结构获取有效期信息,通过访问mbedtls_pk_context结构获取公钥信息等。 5. 清理资源:在使用完mbedtls_x509_crt结构后,需要使用mbedtls_x509_crt_free函数释放资源。 mbedtls库提供了简单易用的API来解析和验证证书,只需要几个简单的函数调用即可完成这些操作。它是一个可靠的工具,广泛应用于各个领域的加密通信中。 ### 回答3: mbedtls是一款轻量级的加密与安全通信库,可以用来进行SSL/TLS协议的实现。它不仅提供了SSL/TLS协议的功能,还包括了解析证书的能力。 在使用mbedtls解析证书时,首先我们需要获取证书的二进制数据。可以通过读取文件、网络传输或其他方式获取证书,并将其保存为二进制形式。 接下来,我们可以使用mbedtls_x509_crt结构体来存储解析后的证书信息。这个结构体包含了证书的各个字段,比如公钥、主题等。 使用mbedtls_x509_crt_parse函数可以将二进制证书数据解析为mbedtls_x509_crt结构体。这个函数接受三个参数:解析后的证书结构体、二进制证书数据和二进制数据的长度。函数执行成功后,我们就可以通过访问结构体的成员来获取证书的各个字段信息。 例如,可以通过访问x509_crt结构体的subject或issuer成员来获取证书的主题和颁发者信息。如果证书包含了公钥信息,我们可以通过访问x509_crt结构体中的公钥成员来获取公钥的相关信息。 需要注意的是,mbedtls解析证书时并不会验证证书的有效性,例如是否是受信任的颁发者颁发的证书。如果需要对解析后的证书进行验证,我们可以通过使用mbedtls_x509_crt_verify函数来完成。 总之,mbedtls提供了方便的接口来解析证书,并可以通过访问结构体的成员来获取证书的各个字段信息。它是一款简单易用的解析证书的工具,非常适合用于嵌入式设备等资源有限的场景。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值