2. 程式人生 > >OPENSSL X509證書驗證

OPENSSL X509證書驗證

阿新 發佈:2019-01-26
步驟:
1)初始化環境
a.新建證書儲存區X509_STORE_new()
b.新建證書校驗上下文X509_STORE_CTX_new()

2)匯入根證書
a.讀取CA證書,從DER編碼格式化為X509結構d2i_X509()
b.將CA證書匯入證書儲存區X509_STORE_add_cert()

3)匯入要校驗的證書test
a.讀取證書test,從DER編碼格式化為X509結構d2i_X509()
b.在證書校驗上下文初始化證書test,X509_STORE_CTX_init()
c.校驗X509_verify_cert


  1. include <stdio.h>
  2. #include
    <string.h>
  3. #include <stdlib.h>
  4. #include <openssl/evp.h>
  5. #include <openssl/x509.h>
  6. #define CERT_PATH "/home/ckelsel/work/rc4/cert"
  7. #define ROOT_CERT "ca.cer"
  8. #define WIN71H "win71h.cer"
  9. #define WIN71Y "win71y.cer"
  10. #define GET_DEFAULT_CA_CERT(
    str) sprintf(str, "%s/%s", CERT_PATH, ROOT_CERT)
  11. #define GET_CUSTOM_CERT(str, path, name) sprintf(str, "%s/%s", path, name)
  12. #define MAX_LEGTH 4096
  13. int my_load_cert(unsigned char *str, unsigned long *str_len,
  14.               const char *verify_cert, const unsigned int cert_len)

  15. {
  16.     FILE *fp;
  17.     fp = fopen(verify_cert, "rb");
  18.     if ( NULL == fp)
  19.     {
  20.         fprintf(stderr, "fopen fail\n");
  21.         return -1;
  22.     }
  23.     *str_len = fread(str, 1, cert_len, fp);
  24.     fclose(fp);
  25.     return 0;
  26. }
  27. X509 *der_to_x509(const unsigned char *der_str, unsigned int der_str_len)
  28. {
  29.     X509 *x509;
  30.     x509 = d2i_X509(NULL, &der_str, der_str_len);
  31.     if ( NULL == x509 )
  32.     {
  33.         fprintf(stderr, "d2i_X509 fail\n");
  34.         return NULL;
  35.     }
  36.     return x509;
  37. }
  38. int x509_verify()
  39. {
  40.     int ret;
  41.     char cert[MAX_LEGTH];
  42.     unsigned char user_der[MAX_LEGTH];
  43.     unsigned long user_der_len;
  44.     X509 *user = NULL;
  45.     unsigned char ca_der[MAX_LEGTH];
  46.     unsigned long ca_der_len;
  47.     X509 *ca = NULL;
  48.     X509_STORE *ca_store = NULL;
  49.     X509_STORE_CTX *ctx = NULL;
  50.     STACK_OF(X509) *ca_stack = NULL;
  51.     /* x509初始化 */
  52.     ca_store = X509_STORE_new();
  53.     ctx = X509_STORE_CTX_new();
  54.     /* root ca*/
  55.     GET_DEFAULT_CA_CERT(cert);
  56.     /* 從檔案中讀取 */
  57.     my_load_cert(ca_der, &ca_der_len, cert, MAX_LEGTH);
  58.     /* DER編碼轉X509結構 */
  59.     ca = der_to_x509(ca_der, ca_der_len);
  60.     /* 加入證書儲存區 */
  61.     ret = X509_STORE_add_cert(ca_store, ca);
  62.     if ( ret != 1 )
  63.     {
  64.         fprintf(stderr, "X509_STORE_add_cert fail, ret = %d\n", ret);
  65.         goto EXIT;
  66.     }
  67.     /* 需要校驗的證書 */
  68.     GET_CUSTOM_CERT(cert, CERT_PATH, WIN71H);
  69.     my_load_cert(user_der, &user_der_len, cert, MAX_LEGTH);
  70.     user = der_to_x509(user_der, user_der_len);
  71.     ret = X509_STORE_CTX_init(ctx, ca_store, user, ca_stack);
  72.     if ( ret != 1 )
  73.     {
  74.         fprintf(stderr, "X509_STORE_CTX_init fail, ret = %d\n", ret);
  75.         goto EXIT;
  76.     }
  77.     //openssl-1.0.1c/crypto/x509/x509_vfy.h
  78.     ret = X509_verify_cert(ctx);
  79.     if ( ret != 1 )
  80.     {
  81.         fprintf(stderr, "X509_verify_cert fail, ret = %d, error id = %d, %s\n",
  82.                 ret, ctx->error, X509_verify_cert_error_string(ctx->error));
  83.         goto EXIT;
  84.     }
  85. EXIT:
  86.     X509_free(user);
  87.     X509_free(ca);
  88.     X509_STORE_CTX_cleanup(ctx);
  89.     X509_STORE_CTX_free(ctx);
  90.     X509_STORE_free(ca_store);
  91.     return ret == 1 ? 0 : -1;
  92. }
  93. int main()
  94. {
  95.     OpenSSL_add_all_algorithms();
  96.     x509_verify();
  97.     return 0;
  98. }


<script>window._bd_share_config={"common":{"bdSnsKey":{},"bdText":"","bdMini":"2","bdMiniList":false,"bdPic":"","bdStyle":"0","bdSize":"16"},"share":{}};with(document)0[(getElementsByTagName('head')[0]||body).appendChild(createElement('script')).src='http://bdimg.share.baidu.com/static/api/js/share.js?v=89860593.js?cdnversion='+~(-new Date()/36e5)];</script> 閱讀(10906) | 評論(0) | 轉發(1) | 給主人留下些什麼吧!~~ 評論熱議

相關推薦

OPENSSL X509證書驗證

步驟: 1)初始化環境 a.新建證書儲存區X509_STORE_new() b.新建證書校驗上下文X509_STORE_CTX_new() 2)匯入根證書 a.讀取CA證書,從DER編碼格式化為X509結構d2i_X509() b.將CA證書匯入證書儲存區X509_STORE

X509證書驗證研究(2)——GDB跟蹤

    根據SSL流程,斷點可以打在ssl3_get_server_certificate函式上。     本函式中,通過一個for迴圈把獲取到的證書存放到一個證書棧sk上,本次跟蹤, 只有一個server證書。此後進入 ssl_verify_cert_chain 去

iOS中使用Openssl X509證書進行字串簽名和驗籤

利用openssl 和x509證書對字串進行簽名和驗籤 //簽名 -(NSString *)rsaSignStringwithString:(NSString *)stringToSign { _signErrorMessage = [[NSStringalloc]ini

通過OpenSSL獲取X509證書的HASH(指紋)值

        通過之前的文章,我們可以使用OpenSSL庫解碼X509證書檔案,並且解析證書的基本項,這次我們嘗試通過OpenSSL獲取證書的HASH值。證書的HASH值,也稱指紋值,是檢查證書的完整性、正確性的屬性。如果使用父證書來驗證證書的簽名時,就會使用到HASH

openssl證書驗證

name 匹配 enc 信任 key 查找 加載順序 分支管理 存在 使用openssl驗證證書鏈可以用以下命令: debian:/home/zhaoya/openssl#openssl verify -CAfile ROOT_CERT USER_CERT 其中的ROOT

openssl證書驗證

/* X509證書驗證 */ void x509_verify() {FILE* fp = fopen("root.der", "rb");if (fp == NULL) {printf("fopen error\n");return;}unsigned char root_cert[4096];uint32

CA證書籤署過程、openssl模擬生成證書檔案、使用者證書驗證過程

//單純使用公私鑰進行加解密,會存在公鑰被替換偽造的風險,無法判斷公鑰是否屬於服務提供商。 //所以,公鑰需要通過CA機構的認證。 //CA機構用自己的私鑰,對服務提供商的相關資訊及公鑰進行加密生成數字證書。 //在進行安全連線的時候,服務提供商將證書一同發給使用者。 //使用者收到證書後,從他的CA認證

openssl https證書

address world 解密 cipher nginx acer frame agen detail 今天摸索了下 HTTPS 的證書生成,以及它在 Nginx 上的部署。由於博客托管在 github 上,沒辦法部署證書,先記錄下,後續有需要方便快捷操作。本文的闡述不一

openssl 生成證書基本原理

detail 數據傳輸 它的 註釋 有一個 -i gen 所在 sig 摘自:http://blog.csdn.net/oldmtn/article/details/52208747 1. 基本原理 公司一個項目要進行交易數據傳輸,因為這個項目銀行那邊也是剛剛開始啟動,所有

HTTPS請求 SSL證書驗證

cer import failed blog kit urllib2 highlight www. header import urllib2 url = "https://www.12306.cn/mormhweb/" headers = {"User-Agent"

Java訪問HTTPS時證書驗證問題

rar html illegal fault tle 包含 verify boolean mitm 為了盡可能避免安全問題,公司的很多系統服務都逐步https化,雖然開始過程會遇到各種問題,但趨勢不改。最完美的https應用是能實現雙向認證,客戶端用私鑰簽名用服務端公鑰加密

使用 openssl 生成證書

安全 ssl 證書 一、openssl 簡介openssl 是目前最流行的 SSL 密碼庫工具,其提供了一個通用、健壯、功能完備的工具套件,用以支持SSL/TLS 協議的實現。官網:https://www.openssl.org/source/構成部分密碼算法庫密鑰和證書封裝管理功能SSL通信AP

使用OpenSSL生成證書並配置Https

兩種 做的 class 令行 .net 基本 我們 服務端 mage 1、密鑰、證書請求、證書概要說明 在證書申請簽發過程中,客戶端涉及到密鑰、證書請求、證書這幾個概念。我們以申請證書的流程說明三者的關系。客戶端(相對於CA)在申請證書的時候,大體上有三個步驟: 第一步:

Openssl生成證書流程

Openssl生成證書流程Openssl生成證書流程偶然想到在內網配置https,就梳理了下利用openssl與ca生成證書的過程。生成過程分為服務端跟客戶端,這裏我在一臺上測試。一.介紹CA是Certificate Authority的縮寫,也就是認證中心。CA的功能有:頒發證書,更新證書,撤銷證書和驗證證

【本地服務器】利用openssl生成證書

.html num href 創建證書 inf blog article nop cmd (一)下載openssl軟件,解壓,進入bin目錄 下載地址 (二)1.在當前bin目錄,按住shift鍵右擊,選擇"在此處打開命令窗口" 2.打開

request發送HTTPS請求(處理SSL證書驗證)

瀏覽器 code erro 發送 傳輸層 查看 抓包 .com tcp連接 1、SSL是什麽,為什麽發送HTTPS請求時需要證書驗證? 1.1 SSL:安全套接字層。是為了解決HTTP協議是明文,避免傳輸的數據被竊取,篡改,劫持等。 1.2 TSL:Tran

openssl生成證書 - CSDN部落格

大家都可以生成公鑰、私鑰對,無法確認公鑰對到底是誰的。 如果能夠確定公鑰到底是誰的,就不會有這個問題了。例如,如果收到“黑客”冒充“伺服器”發過來的公鑰,經過某種檢查,如果能夠發現這個公鑰不是“伺服器”的就好了。 為了解決這個問題,數字證書出現了,它可以解決我們上面的問題。先大概看下什麼是數字證書

靈活多變的keytool和openssl生成證書,應用tomcat和nginx

靈活多變的keytool和openssl生成證書,應用tomcat和nginx 文章目錄 前言 什麼是證書?為什麼要使用證書? 證書格式轉換 證書格式 keytool是什麼? 主要格式 test.

忽略證書驗證的CloseableHttpClient

專案裡需要忽略證書訪問,在網上查了,大部分回答都是複製貼上的,並且也沒有什麼結果。 自己看看原始碼,現在把建立忽略證書的CloseableHttpClient的方法共享下 public CloseableHttpClient getIgnoeSSLClient() throw

Axis1.X 繞過證書驗證

參考文章:http://www.cnblogs.com/zhukunrong/p/3791409.html?utm_source=tuicool&utm_medium=referral 我的問題是由於伺服器網站升級協議到TLSv1.2。 PS:JDK1.6不支援TLSv1.2,網上有說可以通過