OpenSSL 常用函数——证书操作
OpenSSL 常用函数——证书操作
现有的证书大多采用X. 509规范,主要由以下信息组成:版本号、证书序列号、有效期、所有者信息、发行者信息、其他扩展信息、所有者公钥、CA的上述信息签名。一种OpenSSL实现了对X. 509的所有数字证书操作。它包括发放数字证书、解析和验证证书等一种证书操作涉及的主要功能有证书验证(证书链、有效期、CRL)、证书解析(证书版本、序列号、发行人信息、主体信息、公钥、有效期等)。
主要功能
1. DER编码转换为内部结构函数。
X509 * d2i_X509 (X509 ** cert, unsigned char ** d, int len);
函数:将der编码的证书数据转换为OpenSSL内部结构。
参数:cert(出):X509结构。
D:[在]DER编码的证书数据指针地址。
Len [IN]证书数据长度;
返回值:编码的X509结构化数据2,证书版本函数X509_get_version_
2.#define x509_get_version (x) ASN1_INTEGER_get((x)->cert_info->version)
参数:x:[在]X509*结构数据结构。
返回值:证书版本,数据类型“LONG”获取证书序列号函数。
3.ASN1_INTEGER* X509_get_serialNumber (X509* x);
返回值:证书序列号,数据类型“ASN1_INTEGER”。
4. 证书颁发机构的信息功能
X509_NAME * X509_get_issuer_name(X509 *);
注意*:X509_NAME结构包括几个X509_NAME_ENTRY结构。
X509_NAME_ENTRY存储发行者的信息,其中包括对象和值。
对象类型包括国家、通用名称、单位、组织、地区、邮件等
5、X509_NAME * X509_get_subject_name(X509 *);
6、证书有效期的起始日期函数_
#define X509_get_notBefore(x) ((x)->cert_info->validity->notBefore)
返回值:证书开始有效期、数据类型“ASN1_TIME”
7、证书有效期终止日期函数
# define X509_get_notAfter(x) ((x)->cert_info->validity->after)
8、获取证书公钥函数_
EVP_PKEY* X509_get_pubkey (X509* x);
9、创建和释放证书存储区域
X509_STORE * X509_STORE_new(void);
void_X509_STORE_free(X509_STORE * v);
函数:创建和发布一个X509_STORE结构,主要用于认证。
10. 将证书添加到证书存储区域
Int_X509_STORE_add_cert(X509_STORE * ctx X509 * x);
函数:将信任的根证书添加到证书存储区。
返回值:1成功,否则为0
11. 将证书撤销列表添加到证书存储区域
Int_X509_STORE_add_crl(X509_STORE * ctx X509_CRL * x);
功能:将CRL添加到证书存储区。
参数:x:[在]证书撤销列表中。
[在]证书存储区。
返回值:1成功,否则为0。
12. 创建证书存储上下文环境函数
X509_STORE_CTX * X509_STORE_CTX_new(void);
_return值:操作成功返回证书存储区的上下文环境指针,否则返回NULL。
释放证书存储上下文环境
void_X509_STORE_CTX_free (X509_STORE_CTX * ctx);
14. 初始化证书存储区域上下文环境函数_
int_X509_STORE_CTX_init (X509_STORE_CTX * ctx, X509_STORE *store,X509 * X509;, STACK_OF (X509) *chain);;*
功能:初始化证书存储的上下文环境,设置根证书,待验证证书,CA证书链。
15. 检定证书功能
Int_X509_verify_cert (X509_STORE_CTX * ctx);
代码demo:
在之前的文章“通过OpenSSL解码X509证书文件”里,讲述了如何使用OpenSSL将证书文件解码,得到证书上下文结构体X509的方法。下面我们接着讲述如何通过证书上下文结构体X509,获得想要的证书项。本文先讲述如何获取证书的基本项,后面还有文章介绍如何获取证书的扩展项。
下面的代码,都是假定已经通过解码证书文件、得到了证书上下文结构体X509。至于如何使用OpenSSL解码证书文件、得到证书上下文结构体X509,请阅读之前的文章。
首先,我们看看关于证书结构体X509定义:
struct x509_st
{
X509_CINF *cert_info;
X509_ALGOR *sig_alg;
ASN1_BIT_STRING *signature;
int valid;
int references;
char *name;
CRYPTO_EX_DATA ex_data;
/* These contain copies of various extension values */
long ex_pathlen;
long ex_pcpathlen;
unsigned long ex_flags;
unsigned long ex_kusage;
unsigned long ex_xkusage;
unsigned long ex_nscert;
ASN1_OCTET_STRING *skid;
AUTHORITY_KEYID *akid;
X509_POLICY_CACHE *policy_cache;
STACK_OF(DIST_POINT) *crldp;
STACK_OF(GENERAL_NAME) *altname;
NAME_CONSTRAINTS *nc;
#ifndef OPENSSL_NO_RFC3779
STACK_OF(IPAddressFamily) *rfc3779_addr;
struct ASIdentifiers_st *rfc3779_asid;
#endif
#ifndef OPENSSL_NO_SHA
unsigned char sha1_hash[SHA_DIGEST_LENGTH];
#endif
X509_CERT_AUX *aux;
} /* X509 */;
typedef struct x509_cinf_st
{
ASN1_INTEGER *version; /* [ 0 ] default of v1 */
ASN1_INTEGER *serialNumber;
X509_ALGOR *signature;
X509_NAME *issuer;
X509_VAL *validity;
X509_NAME *subject;
X509_PUBKEY *key;
ASN1_BIT_STRING *issuerUID; /* [ 1 ] optional in v2 */
ASN1_BIT_STRING *subjectUID; /* [ 2 ] optional in v2 */
STACK_OF(X509_EXTENSION) *extensions; /* [ 3 ] optional in v3 */
ASN1_ENCODING enc;
} X509_CINF;
我们想要获取的证书基本项,有些就直接存在于这两个结构体中。
一、版本号
通过解码证书文件,得到证书结构体m_pX509之后,可以通过函数X509_get_version()获取证书的版本。具体代码如下:
int ver = X509_get_version(m_pX509);
switch(ver)
{
case 0: //V1
//...
break;
case 1: //V2
//...
break;
case 2: //V3
//...
break;
default:
//Error!
break;
}
需要注意的是,0代表V1;1代表V2;2代表V3。目前绝大多数证书都是V3版本。
二、序列号
同样,有了m_pX509之后,调用函数X509_get_serialNumber()即可获得证书的序列号。只是该函数返回的是ASN1_INTEGER类型,需要转换后才能是我们平常看到的十六进制表示的序列号。具体实现函数如下:
ULONG COpenSSLCertificate::get_SN(LPSTR lptcSN, ULONG *pulLen)
{
ULONG ulRet = CERT_ERR_OK;
ASN1_INTEGER *asn1_i = NULL;
BIGNUM *bignum = NULL;
char *serial = NULL;
if (!m_pX509)
{
return CERT_ERR_INVILIDCALL;
}
if (!pulLen)
{
return CERT_ERR_INVALIDPARAM;
}
asn1_i = X509_get_serialNumber(m_pX509);
bignum = ASN1_INTEGER_to_BN(asn1_i, NULL);
if (bignum == NULL)
{
ulRet = CERT_ERR_FAILED;
goto FREE_MEMORY;
}
serial = BN_bn2hex(bignum);
if (serial == NULL)
{
ulRet = CERT_ERR_FAILED;
goto FREE_MEMORY;
}
BN_free(bignum);
if (!lptcSN)
{
*pulLen = strlen(serial) + 1;
ulRet = CERT_ERR_OK;
goto FREE_MEMORY;
}
if (*pulLen < strlen(serial) + 1)
{
ulRet = CERT_ERR_BUFFER_TOO_SMALL;
goto FREE_MEMORY;
}
strcpy_s(lptcSN, *pulLen, serial);
*pulLen = strlen(serial);
FREE_MEMORY:
OPENSSL_free(serial);
return ulRet;
}
三、公钥算法(证书算法)
要想获取证书公钥算法,需要先调用函数X509_get_pubkey()得到公钥属性结构体,然后通过type字段来判断公钥的算法类型。具体实现函数如下:
ULONG COpenSSLCertificate::get_KeyType(ULONG* pulType)
{
EVP_PKEY *pk = NULL;
stack_st_X509* chain = NULL;
X509_EXTENSION *pex = NULL;
if (!m_pX509)
{
return CERT_ERR_INVILIDCALL;
}
if (!pulType)
{
return CERT_ERR_INVALIDPARAM;
}
pk = X509_get_pubkey(m_pX509);
if (!pk)
{
return CERT_ERR_FAILED;
}
if (EVP_PKEY_RSA == pk->type)
{
*pulType = CERT_KEY_ALG_RSA;
}
else if (EVP_PKEY_EC == pk->type)
{
*pulType = CERT_KEY_ALG_ECC;
}
else if (EVP_PKEY_DSA == pk->type)
{
*pulType = CERT_KEY_ALG_DSA;
}
else if (EVP_PKEY_DH == pk->type)
{
*pulType = CERT_KEY_ALG_DH;
}
else
{
return CERT_KEY_ALG_UNKNOWN;
}
return CERT_ERR_OK;
}
目前常见的证书算法为RSA和ECC,ECC在国内又成为SM2。SM2是国家密码管理局基于椭圆算法(ECC)制定的国内非对称算法标准。
四、证书用途
证书从用途来分,分为“签名证书”和“加密证书”两大类。“签名证书”的公钥用来验证签名,而“加密证书”的公钥则用来加密数据。我们可以通过调用X509中的ex_kusage字段来判断证书的用途,具体函数实现如下:
ULONG COpenSSLCertificate::get_KeyUsage(ULONG* lpUsage)
{
ULONG lKeyUsage = 0;
if (!m_pX509)
{
return CERT_ERR_INVILIDCALL;
}
if (!lpUsage)
{
return CERT_ERR_INVALIDPARAM;
}
*lpUsage = CERT_USAGE_UNKNOWN;
//X509_check_ca() MUST be called!
X509_check_ca(m_pX509);
lKeyUsage = m_pX509->ex_kusage;
if ((lKeyUsage & KU_DATA_ENCIPHERMENT) == KU_DATA_ENCIPHERMENT)
{
*lpUsage = CERT_USAGE_EXCH;<span style="white-space:pre"> </span>//加密证书
}
else if ((lKeyUsage & KU_DIGITAL_SIGNATURE) == KU_DIGITAL_SIGNATURE)
{
*lpUsage = CERT_USAGE_SIGN;<span style="white-space:pre"> </span>//签名证书
}
return CERT_ERR_OK;
}
五、签名算法
证书的签名算法,是指证书用来签名时使用的算法(包含HASH算法)。签名算法用结构体X509中sig_alg字段来表示,可以通过sig_alg的子字段algorithm返回签名算法对象,从而得到签名算法的Oid。首先,签名算法的Oid常见得定义如下:
/* Certificate siganture alg */
#define CERT_SIGNATURE_ALG_RSA_RSA "1.2.840.113549.1.1.1"
#define CERT_SIGNATURE_ALG_MD2RSA "1.2.840.113549.1.1.2"
#define CERT_SIGNATURE_ALG_MD4RSA "1.2.840.113549.1.1.3"
#define CERT_SIGNATURE_ALG_MD5RSA "1.2.840.113549.1.1.4"
#define CERT_SIGNATURE_ALG_SHA1RSA "1.2.840.113549.1.1.5"
#define CERT_SIGNATURE_ALG_SM3SM2 "1.2.156.10197.1.501"
获取签名算法Oid的具体实现函数如下:
ULONG COpenSSLCertificate::get_SignatureAlgOid(LPSTR lpscOid, ULONG *pulLen)
{
char oid[128] = {0};
ASN1_OBJECT* salg = NULL;
if (!m_pX509)
{
return CERT_ERR_INVILIDCALL;
}
if (!pulLen)
{
return CERT_ERR_INVALIDPARAM;
}
salg = m_pX509->sig_alg->algorithm;
OBJ_obj2txt(oid, 128, salg, 1);
if (!lpscOid)
{
*pulLen = strlen(oid) + 1;
return CERT_ERR_OK;
}
if (*pulLen < strlen(oid) + 1)
{
return CERT_ERR_BUFFER_TOO_SMALL;
}
strcpy_s(lpscOid, *pulLen, oid);
*pulLen = strlen(oid) + 1;
return CERT_ERR_OK;
}
由于Windows对SM2/SM3算法还没有定义,所以对于ECC(SM2)证书,Windows直接显示签名算法的Oid:“1.2.156.10197.1.501”,如下图所示:
六、颁发者
关于颁发者,我们可以通过调用函数X509_get_issuer_name()获取属性。不过该函数返回的是X509_NAME类型,需要调用函数X509_NAME_get_text_by_NID()将其转化为ASCII字符形式。具体通过下面函数实现:
ULONG COpenSSLCertificate::get_Issuer(LPSTR lpValue, ULONG *pulLen)
{
int nNameLen = 512;
CHAR csCommonName[512] = {0};
X509_NAME *pCommonName = NULL;
if (!m_pX509)
{
return CERT_ERR_INVILIDCALL;
}
if (!pulLen)
{
return CERT_ERR_INVALIDPARAM;
}
pCommonName = X509_get_issuer_name(m_pX509);
if (!pCommonName)
{
return CERT_ERR_FAILED;
}
nNameLen = X509_NAME_get_text_by_NID(pCommonName, NID_commonName, csCommonName, nNameLen);
if (-1 == nNameLen)
{
return CERT_ERR_FAILED;
};
if (!lpValue)
{
*pulLen = nNameLen + 1;
return CERT_ERR_OK;
}
if (*pulLen < (ULONG)nNameLen + 1)
{
return CERT_ERR_BUFFER_TOO_SMALL;
}
strcpy_s(lpValue, *pulLen, csCommonName);
*pulLen = nNameLen;
return CERT_ERR_OK;
}
七、使用者
关于证书使用者,我们可以通过调用函数X509_get_subject_name)获取属性。同样,该函数返回的是X509_NAME类型,需要调用函数X509_NAME_get_text_by_NID()将其转化为ASCII字符形式。具体通过下面函数实现:
ULONG COpenSSLCertificate::get_SubjectName(LPSTR lpValue, ULONG *pulLen)
{
int iLen = 0;
int iSubNameLen = 0;
CHAR csSubName[1024] = {0};
CHAR csBuf[256] = {0};
X509_NAME *pSubName = NULL;
if (!m_pX509)
{
return CERT_ERR_INVILIDCALL;
}
if (!pulLen)
{
return CERT_ERR_INVALIDPARAM;
}
pSubName = X509_get_subject_name(m_pX509);
if (!pSubName)
{
return CERT_ERR_FAILED;
}
ZeroMemory(csBuf, 256);
iLen = X509_NAME_get_text_by_NID(pSubName, NID_countryName, csBuf, 256);
if (iLen > 0)
{
strcat_s(csSubName, 1024, "C=");
strcat_s(csSubName, 1024, csBuf);
strcat_s(csSubName, 1024, ", ");
}
ZeroMemory(csBuf, 256);
iLen = X509_NAME_get_text_by_NID(pSubName, NID_organizationName, csBuf, 256);
if (iLen > 0)
{
strcat_s(csSubName, 1024, "O=");
strcat_s(csSubName, 1024, csBuf);
strcat_s(csSubName, 1024, ", ");
}
ZeroMemory(csBuf, 256);
iLen = X509_NAME_get_text_by_NID(pSubName, NID_organizationalUnitName, csBuf, 256);
if (iLen > 0)
{
strcat_s(csSubName, 1024, "OU=");
strcat_s(csSubName, 1024, csBuf);
strcat_s(csSubName, 1024, ", ");
}
ZeroMemory(csBuf, 256);
iLen = X509_NAME_get_text_by_NID(pSubName, NID_commonName, csBuf, 256);
if (iLen > 0)
{
strcat_s(csSubName, 1024, "CN=");
strcat_s(csSubName, 1024, csBuf);
}
if (!lpValue)
{
*pulLen = strlen(csSubName) + 1;
return CERT_ERR_OK;
}
if (*pulLen < strlen(csSubName) + 1)
{
return CERT_ERR_BUFFER_TOO_SMALL;
}
strcpy_s(lpValue, *pulLen, csSubName);
*pulLen = strlen(csSubName);
return CERT_ERR_OK;
}
八、有效期限
要获取证书的有效期属性,需要通过调用函数X509_get_notBefore()和X509_get_notAfter()来实现。而且这两个函数返回的时间是time_t类型,需要转化为SYSTEMTIME类型。具体实现函数如下:
ULONG COpenSSLCertificate::get_ValidDate(SYSTEMTIME *ptmStart, SYSTEMTIME *ptmEnd)
{
int err = 0;
ASN1_TIME *start = NULL;
ASN1_TIME *end = NULL;
time_t ttStart = {0};
time_t ttEnd = {0};
LONGLONG nLLStart = 0;
LONGLONG nLLEnd = 0;
FILETIME ftStart = {0};
FILETIME ftEnd = {0};
if (!m_pX509)
{
return CERT_ERR_INVALIDPARAM;
}
start = X509_get_notBefore(m_pX509);
end = X509_get_notAfter(m_pX509);
ttStart = ASN1_TIME_get(start, &err);
ttEnd = ASN1_TIME_get(end, &err);
nLLStart = Int32x32To64(ttStart, 10000000) + 116444736000000000;
nLLEnd = Int32x32To64(ttEnd, 10000000) + 116444736000000000;
ftStart.dwLowDateTime = (DWORD)nLLStart;
ftStart.dwHighDateTime = (DWORD)(nLLStart >> 32);
ftEnd.dwLowDateTime = (DWORD)nLLEnd;
ftEnd.dwHighDateTime = (DWORD)(nLLEnd >> 32);
FileTimeToSystemTime(&ftStart, ptmStart);
FileTimeToSystemTime(&ftEnd, ptmEnd);
return 0;
}
至此,X509证书的基本项通过OpenSLL均已解析完毕!如需获取证书的扩展项或者公钥等数据,请关注后续博文。
OpenSSL 常用函数——证书操作相关推荐
- OpenSSL常用函数分类索引
OpenSSL常用函数分类索引 内存管理 void *OPENSSL_malloc(size_t num) void *OPENSSL_zalloc(size_t num) void *OPENSSL ...
- PHP访问mysql的常用函数,PHP操作MySQL数据库常用函数
PHP操作MySQL数据库常用函数 php操作mysql数据库,俗称天龙八步: 第一步:连接数据库 第二步:判断连接错误 第三步:选择数据库 第四步:设置字符集 第五步:准备SQL语句 第六步:执行并 ...
- Oracle 语言分类 数据类型 数据类型转换 常用函数 集合操作 子查询
SQL分类 SQL(Structure Query Language)语言是数据库的核心语言.SQL语言共分为四大类:数据定义语言DDL,数据操纵语言DML,数据查询语言DQL,数据控制语言DCL.1 ...
- Pandas库常用函数和操作
目录 1. DataFrame 处理缺失值 dropna() 2. 根据某维度计算重复的行 duplicated().value_counts() 3. 去重 drop_duplicates( ...
- python常用函数和操作_python一条语句分析几个常用函数和概念 -
前言 过年也没完全闲着,每天用一点点时间学点东西,本文为大家介绍几个python操作的细节,包含all.any.for in等操作,以及介绍我解决问题的思路. 一.开篇 先从我看到的一个简单的语句开始 ...
- [转载] python 语言基础 - 字符串常用函数及操作
参考链接: Python字符串| ljust rjust center python为字符串操作提供了很多常用的内建函数,让我们在操作字符串时能够更加简单方便. 下面以某个字符串为例来一一介绍一下 现 ...
- matlab常用函数——文件操作函数
十一.基本文件操作函数 1)文件创建函数 filemaker :把文件名与文件中函数名分开 . filesep :文件目录分隔. fileparts :把目标文件名拆分成字符串形式输出 . tempd ...
- php常用函数字符串操作回顾
1.php字符串函数的回顾 //php查找函数,用来定位你查找的字符串出现的位置 strpos(string position ) 字符串定位函数 strpos($strA,$strB) 用来查 ...
- Excel常用函数(操作示例)
1.IF函数条件判断. IF函数是最常用的判断类函数之一,能完成非此即彼的判断. 如下图,考核得分的标准为9分,要判断B列的考核成绩是否合格. =IF(B4>=9,"合格", ...
- PHP的OpenSSL加密扩展学习(三):证书操作
PHP的OpenSSL加密扩展学习(三):证书操作 关于对称和非对称的加密操作,我们已经学习完两篇文章的内容了,接下来,我们就继续学习关于证书的生成. 生成 CSR 证书签名请求 CSR 是用于生成证 ...
最新文章
- 我在 Spring 的 BeanUtils 踩到的那些坑,千万不要犯!
- dos下 和 批处理中的 for 语句的基本用法
- 【LeetCode】【数组归并】Merge k Sorted Lists
- hive查看数据库里库的信息_hive 查看当前数据库
- 用Python进行数据探索,探索竞赛优胜方案
- 【RUST官方语言中文翻译】前言
- 五年烧光 3.5 亿美金,互联网独角兽是如何把自己玩死的?
- 计算机北桥芯片结构图,电脑主板芯片维修教程第一节:电脑主板你是否真的认识...
- C语言 运算符与表达式
- QListView的使用
- win7计算机屏保后声音丢失,告诉你win7屏保怎么设置
- 广西一男子酒后肇事逃逸 致环卫工人被撞身亡(图)
- numpy.pad对图片进行填充
- Altium Designer 19 安装方法
- HTML5期末大作业——布卡漫画官网(4个页面)HTML+CSS+JavaScript
- 数字图像处理:空间相关与卷积操作
- 【TI-AM5728】(1)开发环境搭建
- Windows下,文件(夹)选择/打开对话框的三种创建方式
- java/php/net/python电影影评网站设计
- xss-labs靶场通关payload
热门文章
- 计算机设置页眉教案,设置页眉页脚——教学设计-20210318083746.docx-原创力文档
- 【人机交互技术】Web界面设计
- C++判断一个数是否是质数(极简版)
- hibernate一对多关系
- 关于 attiny 85 http://digistump.com/package_digistump_index.json下载错误
- 图像金字塔——pyrDown和pyrUp
- 用prototype 方法$A() uncheck radio button
- win7局域网计算机 慢,win7系统局域网传输速度很慢的方法介绍
- geo差异表达分析_GEO2R差异表达分析软件
- Joson的简单用法