OpenSSL API 签发证书

最新推荐文章于 2022-01-25 21:47:42 发布
最新推荐文章于 2022-01-25 21:47:42 发布
阅读量3.1k 收藏 4
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy531/article/details/21645139
版权

/**
 * @file cert_openssl.c
 * @brief 利用openssl api处理证书
 * @author zy
 * @date 2014-10-11 modify
 */
#include <stdio.h>
#include <unistd.h>

#include <openssl/pem.h>
#include <openssl/pkcs12.h>

#define CONTEXT_MAX_NUM 7
#define SERIAL_RAND_BITS 64

/**
* 描  述: 获取X509对象
* 参  数: @param[IN] cert_file  证书
* 返回值: X509对象
*/
X509* read_public_cert(const char* cert_file)
{
    X509 *x509 = NULL;
   
    FILE *fp = fopen (cert_file, "r");  
    if(!fp)
    {
        printf("read_public_cert, open cert failed!");
        return NULL;
    }

    x509 = PEM_read_X509(fp, NULL, 0, NULL);

    if(x509 == NULL)
    { 
        printf("read_public_cert, get x509 failed!");
        return NULL;  
    }

    return x509;
}

/**
* 描  述: 获取公钥
* 参  数: @param[IN] cert_file  证书
* 返回值: 公钥
*/
EVP_PKEY * read_public_key(const char* cert_file)
{
    X509 *x509 = NULL;
    EVP_PKEY *pkey = NULL;

    FILE *fp = fopen (cert_file, "r");  
    if(!fp)
    {
        printf("read_public_key, open cert failed!");
        return NULL;
    }

    x509 = PEM_read_X509(fp, NULL, 0, NULL);

    if(x509 == NULL)
    { 
        printf("read_public_key, get x509 failed!");
        return NULL;  
    }

    fclose(fp);

    pkey = X509_extract_key(x509);
    X509_free(x509);

    if(pkey == NULL)
    {
        printf("read_public_key, get key failed!");
    }

    return pkey;
}

/**
* 描  述: 获取私钥
* 参  数: @param[IN] key_file  证书
* 返回值: 私钥
*/
EVP_PKEY *read_private_key(const char* key_file)
{
    EVP_PKEY *pkey = NULL;
   
    FILE *fp = fopen(key_file, "r");
    if(!fp)
    {
        printf("read_private_key, open key failed!");
        return NULL;
    }

    pkey = PEM_read_PrivateKey(fp, NULL, 0, NULL);

    fclose(fp);

    if (pkey == NULL)
    {
        printf("read_private_key, get key failed!");
    }

    return pkey;
}

/**
* 描  述: 添加证书内容
* 参  数: @param[IN] name  X509_NAME
          @param[IN] ctx   使用者信息
          @param[IN] num   ctx数组长度
* 返回值: 1: 成功 0: 失败
*/
int add_cert_ctx(X509_NAME* name, char* ctx[], int num)
{
    int i = 0;
    int max = 0;

    int item[] = {NID_commonName, NID_countryName,
        NID_stateOrProvinceName, NID_localityName,
        NID_organizationName, NID_organizationalUnitName,
        NID_pkcs9_emailAddress};

    max = sizeof(item)/sizeof(item[0]);
    max = max > num ? num : max;

    for(i=0; i<max; ++i)
    {
        if(!X509_NAME_add_entry_by_NID(name, item[i], MBSTRING_UTF8, ctx[i], -1, -1, 0))
        {
            printf("add_cert_ctx, add entry:%d to %s failed!", item[i], ctx[i]);
            return 0;
        }
    }

    return 1;
}
 
/**
* 描  述: 创建证书密钥
* 参  数: @param[OUT] pkey  EVP_PKEY
          @param[IN] bits   密钥长度
* 返回值: 1: 成功 0: 失败
*/
int create_client_key(EVP_PKEY** pkey, int bits)
{
    RSA *rsa = NULL;
    EVP_PKEY *pk = NULL;

    if((pk = EVP_PKEY_new()) == NULL)
    {
        printf("create_client_key, gen new key failed!");
        goto err;
    }

    rsa = RSA_generate_key(bits, RSA_F4, NULL, NULL);
    if(!EVP_PKEY_assign_RSA(pk, rsa))
    {
        printf("create_client_key, assign key failed!");
        EVP_PKEY_free(pk);
        goto err;
    }
    rsa = NULL;

    *pkey = pk;
    return 1;
 
err:
    return 0;
}

/**
* 描  述: CA签发证书
* 参  数: @param[OUT] x509p      EVP_PKEY
    @param[OUT] pkey       X509
    @param[IN] ca_file      CA
    @param[IN] ca_key_file   CA密钥
    @param[IN] serial      序列号
          @param[IN] days        过期时长
* 返回值: 1: 成功 0: 失败
*/
int create_ca_signed_crt(X509** x509p, EVP_PKEY** pkey,
            const char* ca_file, const char* ca_key_file, const char* user, const int serial, const int days)
{
    X509* x = NULL;
    EVP_PKEY* pk = NULL;
    X509* xca = NULL;
    EVP_PKEY* xca_key = NULL;
    X509_NAME* name = NULL;
    //X509_NAME *tname = NULL;
    //char buf[256] = {0};
    char* ctx[] = {(char*)user, "bb", "cc", "dd", "ee", "ff", "ff@sf.com"};

    if(!create_client_key(&pk, 2048))
    {
        printf("create_ca_signed_crt, gen key failed!");
        goto err;
    }

    if((x = X509_new()) == NULL)
    {
        printf("create_ca_signed_crt, gen x509 failed!");
        goto err;
    }

    xca = read_public_cert(ca_file);
    xca_key = read_private_key(ca_key_file);
    if(!X509_check_private_key(xca, xca_key))
    {
        printf("create_ca_signed_crt, check ca %s and key %s failed!", ca_file, ca_key_file);
        goto err;
    }

    if(!X509_set_issuer_name(x, X509_get_subject_name(xca)))
    {
        printf("create_ca_signed_crt, set issuer failed!");
        goto err;
    }

    ASN1_INTEGER_set(X509_get_serialNumber(x), serial);

    if(X509_gmtime_adj(X509_get_notBefore(x), 0L) == NULL)
    {
        printf("create_ca_signed_crt, set cert begin time failed!");
        goto err;
    }

    if(X509_gmtime_adj(X509_get_notAfter(x), (long)60*60*24*days) == NULL)
    {
        printf("create_ca_signed_crt, set cert expired time failed!");
        goto err;
    }

    if(!X509_set_pubkey(x, pk))
    {
        printf("create_ca_signed_crt, set pubkey failed!");
        goto err;
    }

    //tname = X509_get_subject_name(xca);
    //X509_NAME_get_text_by_NID(tname, NID_localityName, buf, 256);
    //printf("city: %s\n", buf);

    name = X509_get_subject_name(x);
    if(!add_cert_ctx(name, ctx, CONTEXT_MAX_NUM))
    {
        printf("create_ca_signed_crt, add entry failed!");
        goto err;
    }

    if(!X509_sign(x, xca_key, EVP_sha1()))
    {
        printf("create_ca_signed_crt, sign cert failed!");
        goto err;
    }

    *pkey = pk;
    *x509p = x;
    return 1;
err:
    if(x)
        X509_free(x);
    if(pk)
        EVP_PKEY_free(pk);
   
    return 0;
}

/**
* 描  述: 创建P12证书
* 参  数: @param[IN] p12_file     p12
    @param[IN] p12_passwd   p12密码
    @param[IN] ca_file      CA
    @param[IN] ca_key_file   CA密钥
    @param[IN] serial      序列号
          @param[IN] days        过期时长
* 返回值: 1: 成功 0: 失败
*/
int create_p12_cert(char* p12_file, char* p12_passwd,
            const char* ca_file, const char* ca_key_file, const char* user, const int serial, const int days)
{
    int ret = 0;
    PKCS12* p12 = NULL;
    X509* cert = NULL;
    EVP_PKEY* pkey = NULL;
 FILE *fp = NULL;
 BIO *mem = NULL;
 char *mem_out = NULL;
 long len = 0;

    SSLeay_add_all_algorithms();

    if(!create_ca_signed_crt(&cert, &pkey, ca_file, ca_key_file, user, serial, days))
    {
        printf("create_p12_cert, create signed cert failed!");
        goto err;
    }

    p12 = PKCS12_create(p12_passwd, NULL, pkey, cert, NULL, 0,0,0,0,0);
    if(!p12)
    {
        printf("create_p12_cert, create p12 object failed!");
        goto err;
    }

 /*
    fp = fopen(p12_file, "wb");
    if(!fp)
    {
        printf("create_p12_cert, open/create p12 file failed!");
        goto err;
    }
    if(!i2d_PKCS12_fp(fp, p12))
    {
        printf("create_p12_cert, put p12 file failed!");
        goto err;
    }
 */
 
 fp = fopen(p12_file, "wb");
    if(!fp)
    {
        printf("create_p12_cert, open/create p12 file failed!");
        goto err;
    }
 
 mem = BIO_new(BIO_s_mem());
 if(!mem)
 {
  printf("create_p12_cert, BIO_new failed!");
        goto err;
 }
 
 i2d_PKCS12_bio(mem, p12);
 len = BIO_get_mem_data(mem, &mem_out);
 fwrite(mem_out, sizeof(char), len, fp);

    ret = 1;
err:
    if(cert)
        X509_free(cert);
    if(pkey)
        EVP_PKEY_free(pkey);
    if (p12)
        PKCS12_free(p12);
 if (mem)
  BIO_free(mem);
    if(fp)
        fclose(fp);
   
    EVP_cleanup();
    return ret;
}

//openssl smime -sign -in unsign.mc -out signed.mc -signer ssl.crt -inkey ssl.key -certfile server.crt -outform der -nodetach
int sign_mobile_config(const char *inmc, int inlen, char **outmc, int *outlen,
 char *certfile, char *signerfile, char *keyfile)
{
    X509 *signer = NULL;
    EVP_PKEY *key = NULL;
    PKCS7 *p7 = NULL;
    X509 *cert = NULL;

    BIO *in = NULL;
    BIO *out = NULL;
    STACK_OF(X509) * other = NULL;
   
    int mclen = 0;
    char *mc = NULL;
    char *tmp = NULL;

    SSLeay_add_all_algorithms();
   
    // in
    in = BIO_new_mem_buf((char*)inmc, inlen); // BIO_write
    if (!in)
    {
        return -1;
    }

   cert = read_public_cert(certfile);
  
   other = sk_X509_new_null();
   sk_X509_push(other, cert);


    signer = read_public_cert(signerfile);
    key = read_private_key(keyfile);

    if (!X509_check_private_key(signer, key))
    {
        printf("x509 check failed!\n");
        return -1;
    }
   
    p7 = PKCS7_sign(signer, key, other, in, 0);
    if (!p7)
     goto end;

     // out
    out = BIO_new(BIO_s_mem());
    i2d_PKCS7_bio(out, p7);
    mclen = BIO_get_mem_data(out, &tmp);// BIO_read
    mc = (char*)malloc(mclen);
    memcpy(mc, tmp, mclen);
    *outmc = mc;
    *outlen = mclen;
       
end:
    sk_X509_pop_free(other, X509_free);
    X509_free(signer);
    EVP_PKEY_free(key);
    PKCS7_free(p7);
    BIO_free(in);
    BIO_free_all(out);

    return 0;
}

 

int main()
{
 create_p12_cert("/root/out.p12", "1234", "/root/server_mdm.crt", "/root/server_mdm.key", "test", 0, 3650);
 return 0;
}

gcc -o test cert_openssl.c -L. -lcrypto

zy531
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
openssl证书中提取公钥
啊渊的专栏
02-17 7668
openssl证书中提取公钥
很棒的 openssl 证书解析例子
andylau00j的专栏
06-14 1万+
Parsing X.509 Certificates with OpenSSL and C 转自:https://zakird.com/2013/10/13/certificate-parsing-with-openssl While OpenSSL has become one of the defacto libraries for performing SSL
PEM_read_bio_X509_AUX() failed (SSL: error:0906D06C:PEM routines:PEM_read_bio
poem_2010的博客
01-25 1万+
在使用nginx处理 https的时候,修改好了 nginx.conf, 使用命令 ./sbin/nginx -s reload 的时候,报出 cannot load certificate "/usr/local/nginx/conf/7175012_api.xxxxx.com.key": PEM_read_bio_X509_AUX() failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: T
openssl 生成CSR
Jinhill's Blog
12-27 9577
openssl如何生成CSR写了一上DEMO,支持扩展属性,同时增加了通过DN字符串转X509_NAME的方法。#include #include #include #pragma comment(lib, "libeay32.lib") /* * subject is expected to be in the format /type0=value0/type1=value1/typ
数字证书的中文化问题
Sagely's blog
04-28 1914
一:在证书中加入中文信息,其实也就是一个GB2312转化为UTF8的过程     openssl命令行工具是无法显示中文证书的,需要更改一下原代码,下面以cisoca为例:int AddSubjectEntry(X509_NAME *pSubjectName,char *key, char *value){      int nid,iCount=0,iLen;     X509_NAME_ENT
利用openssl自制CA证书
09-13
具体代码实现不在本文档范围内,但通常涉及到读取`ca.crt`文件,然后使用系统API将其添加到受信任的根证书颁发机构。 5. **生成服务器证书**:创建了CA后,我们可以用它来签发服务器证书。首先为服务器生成私钥和...
openssl 解析证书
05-30
- **颁发者(Issuer)**:这是签发证书的CA的信息,通常包括CA的组织名、单位、国家等。 - **主题(Subject)**:这是证书持有者的身份信息,同样包括组织名、单位、国家等。 - **有效期(Validity)**:证书的...
openssl已编译,3.0.3
最新发布
12-26
6. **证书处理**: 可以创建、签发和管理X.509数字证书,这些证书用于识别网络服务提供商并建立信任关系。 7. **命令行工具**: 提供了一系列实用程序,如`openssl s_client`、`openssl s_server`、`openssl req`等,...
Openssl 1.1.1下载
10-23
在实际操作中,OpenSSL命令行工具可以用于创建和管理这些文件,执行如加密解密、密钥转换、证书签发等任务。 总结起来,OpenSSL 1.1.1系列,特别是1.1.1i和1.1.1h版本,是网络安全领域的重要组成部分,它们提供了...
OpenSSL-0.9.8
05-26
例如,它定义了默认的证书签发者(CA)、证书存储位置、默认的加密算法等。修改此配置文件可以自定义OpenSSL的行为,以适应特定的安全策略或合规要求。 4. **include 目录**: 此目录包含了OpenSSL库中使用的...
openssl生成证书
12-27
使用openssl生成证书,有详细的步骤说明,亲测可用。还有一些关于证书的一些常用转换操作介绍
openssl证书相关函数
06-25
opensssl相关函数的应该,包括生成根证书签发证书
pem格式证书编码 x509_从PEM格式证书和PEM格式公共密钥生成DER格式公共密钥
weixin_39628380的博客
12-19 1170
在受到打击之前,我已执行以下步骤1)我使用了服务器证书s_client -connect hostname.org:443 -showcerts证书看起来不错-----BEGIN CERTIFICATE-----MIIICTCCBvGgAwIBAgIQA8mdxgOCgSdtPdwJY/c3FzANBgkqhkiG9w0BAQsFADBkMQswCQYDVQQGEwJOTDEWMBQGA1UECB...
nginx 部署ssl证书出现[emerg] PEM_read_bio_X509_AUX failed的解决办法
rznice的专栏
11-17 6万+
nginx 部署ssl证书出现[emerg] PEM_read_bio_X509_AUX failed的解决办法
[实例] x509 命令(读取一个证书的信息)
小鱼儿的博客
05-23 3893
[root@monitor ssl.crt]# openssl x509 -text -in mail.bob.com.crt  Certificate:     Data:         Version: 1 (0x0)         Serial Number: 0 (0x0)                                                     
SpringCloud微服务——基于security+oauth2的安全保护(五):授权服务之JWT
fyk的博客
08-14 3144
使用JwkTokenStore存储token的时候,需要使用jks文件作为Token加密的密匙。 本文使用java的keytool生成jks文件(首先要安装好JDK环境)。 首先CMD打开终端窗口,要生成在哪个目录,就进入哪个目录,然后执行: keytool -genkeypair -alias fyk-jwt -validity 365 -keyalg RSA -dname "CN=fyk,OU...
gmssl编程之签发X509证书
lt4959的专栏
03-12 2911
gmssl编程之签发证书前言命令行实现方式编程实现方式step1. 产生密钥对step2. 生成证书请求step3. 签发X509源代码 前言 最近由于项目需求,需要通过代码组装并签发标准X509格式数字证书。故而查询资料对gmssl/openssl签发证书流程就行了一番研究,终于完成。先记录如下. 命令行实现方式 命令行方式下使用gmssl/openssl指令进行证书签发主要有三步:生成密钥对(私钥)、生成证书请求、签发证书。 具体小伙伴们可参考小编这篇文章:Gmssl生成自签名证书 编程实现方式 同理
通过OpenSSL解析X509证书基本项
热门推荐
密码开发者
07-08 6万+
通过OpenSSL库解析X509证书基本项,比如版本号、序列号、颁发者、使用者、有效期、公钥算法、证书用途等。
SpringCloud从零构建(九)——基于OAuth2.0+JWT的认证中心(下——资源中心配置)
gjen1996的博客
08-01 1461
基于OAuth2.0+JWT的鉴权中心(下——资源中心配置) 在上一讲中我们讲了认证中心配置我们也成为了认证服务器,本篇文章我们主要来配置一下资源中心配置,也叫资源服务器,同时做一下测试。 一)创建项目 下面进行资源服务器app-customer-login模块的配置。 B、app-customer-login创建 这个模块主要是 1、创建一个新的模块,和前面几讲的一样,打开上一篇创建的项目mic...
openssl 签发国密证书
07-14
要使用 OpenSSL 签发国密证书,需要进行一些额外的步骤。以下是一个简单的示例: 首先,确保您已经安装了支持国密算法的 OpenSSL 版本。您可以在 OpenSSL 的官方网站上下载最新版本的 OpenSSL。 然后,生成一对...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值