在之前的文章“通过OpenSSL解码X509证书文件”里。讲述了怎样使用OpenSSL将证书文件解码,得到证书上下文结构体X509的方法。

以下我们接着讲述怎样通过证书上下文结构体X509,获得想要的证书项。

本文先讲述怎样获取证书的基本项,后面还有文章介绍怎样获取证书的扩展项。

以下的代码,都是假定已经通过解码证书文件、得到了证书上下文结构体X509。至于怎样使用OpenSSL解码证书文件、得到证书上下文结构体X509。请阅读之前的文章。

首先,我们看看关于证书结构体X509定义:

struct x509_st

{

	X509_CINF *cert_info;

	X509_ALGOR *sig_alg;

	ASN1_BIT_STRING *signature;

	int valid;

	int references;

	char *name;

	CRYPTO_EX_DATA ex_data;

	/* These contain copies of various extension values */

	long ex_pathlen;

	long ex_pcpathlen;

	unsigned long ex_flags;

	unsigned long ex_kusage;

	unsigned long ex_xkusage;

	unsigned long ex_nscert;

	ASN1_OCTET_STRING *skid;

	AUTHORITY_KEYID *akid;

	X509_POLICY_CACHE *policy_cache;

	STACK_OF(DIST_POINT) *crldp;

	STACK_OF(GENERAL_NAME) *altname;

	NAME_CONSTRAINTS *nc;

#ifndef OPENSSL_NO_RFC3779

	STACK_OF(IPAddressFamily) *rfc3779_addr;

	struct ASIdentifiers_st *rfc3779_asid;

#endif

#ifndef OPENSSL_NO_SHA

	unsigned char sha1_hash[SHA_DIGEST_LENGTH];

#endif

	X509_CERT_AUX *aux;

} /* X509 */;

typedef struct x509_cinf_st

{

	ASN1_INTEGER *version;		/* [ 0 ] default of v1 */

	ASN1_INTEGER *serialNumber;

	X509_ALGOR *signature;

	X509_NAME *issuer;

	X509_VAL *validity;

	X509_NAME *subject;

	X509_PUBKEY *key;

	ASN1_BIT_STRING *issuerUID;		/* [ 1 ] optional in v2 */

	ASN1_BIT_STRING *subjectUID;		/* [ 2 ] optional in v2 */

	STACK_OF(X509_EXTENSION) *extensions;	/* [ 3 ] optional in v3 */

	ASN1_ENCODING enc;

} X509_CINF;

我们想要获取的证书基本项。有些就直接存在于这两个结构体中。

一、版本

通过解码证书文件。得到证书结构体m_pX509之后,能够通过函数X509_get_version()获取证书的版本号。

详细代码例如以下:

int ver = X509_get_version(m_pX509);

switch(ver)

{

	case 0:		//V1

		//...

	break;

	case 1:		//V2

		//...

	break;

	case 2:		//V3

		//...

	break;

	default:

		//Error!

	break;

}

须要注意的是,0代表V1;1代表V2;2代表V3。眼下绝大多数证书都是V3版本号。

二、序列号

相同,有了m_pX509之后。调用函数X509_get_serialNumber()就可以获得证书的序列号。仅仅是该函数返回的是ASN1_INTEGER类型,须要转换后才干是我们寻常看到的十六进制表示的序列号。详细实现函数例如以下:

ULONG COpenSSLCertificate::get_SN(LPSTR lptcSN, ULONG *pulLen)

{

	ULONG ulRet = CERT_ERR_OK;

	ASN1_INTEGER *asn1_i = NULL;

	BIGNUM *bignum = NULL;

	char *serial = NULL;

	if (!m_pX509)

	{

	    return CERT_ERR_INVILIDCALL;

	}

	if (!pulLen)

	{

		return CERT_ERR_INVALIDPARAM;

	}

	asn1_i = X509_get_serialNumber(m_pX509);

	bignum = ASN1_INTEGER_to_BN(asn1_i, NULL);

	if (bignum == NULL)

	{

		ulRet = CERT_ERR_FAILED;

		goto FREE_MEMORY;

	}

	serial = BN_bn2hex(bignum);

    if (serial == NULL)

	{

		ulRet = CERT_ERR_FAILED;

		goto FREE_MEMORY;

	}

    BN_free(bignum);

	if (!lptcSN)

	{

		*pulLen = strlen(serial) + 1;

		ulRet = CERT_ERR_OK;

		goto FREE_MEMORY;

	}

	if (*pulLen < strlen(serial) + 1)

	{

		ulRet = CERT_ERR_BUFFER_TOO_SMALL;

		goto FREE_MEMORY;

	}

    strcpy_s(lptcSN, *pulLen, serial);

	*pulLen = strlen(serial);

FREE_MEMORY:

    OPENSSL_free(serial);

	return ulRet;

}

三、公钥算法(证书算法)

要想获取证书公钥算法。须要先调用函数X509_get_pubkey()得到公钥属性结构体,然后通过type字段来推断公钥的算法类型。

详细实现函数例如以下:

ULONG COpenSSLCertificate::get_KeyType(ULONG* pulType)

{

	EVP_PKEY *pk = NULL;

	stack_st_X509* chain = NULL;

	X509_EXTENSION *pex = NULL;

	if (!m_pX509)

	{

		return CERT_ERR_INVILIDCALL;

	}

	if (!pulType)

	{

		return CERT_ERR_INVALIDPARAM;

	}

	pk = X509_get_pubkey(m_pX509);

	if (!pk)

	{

		return CERT_ERR_FAILED;

	}

	if (EVP_PKEY_RSA == pk->type)

	{

		*pulType = CERT_KEY_ALG_RSA;

	}

	else if (EVP_PKEY_EC == pk->type)

	{

		*pulType = CERT_KEY_ALG_ECC;

	}

	else if (EVP_PKEY_DSA == pk->type)

	{

		*pulType = CERT_KEY_ALG_DSA;

	}

	else if (EVP_PKEY_DH == pk->type)

	{

		*pulType = CERT_KEY_ALG_DH;

	}

	else

	{

		return CERT_KEY_ALG_UNKNOWN;

	}		

	return CERT_ERR_OK;

}

眼下常见的证书算法为RSA和ECC。ECC在国内又成为SM2。SM2是国家password管理局基于椭圆算法(ECC)制定的国内非对称算法标准。

四、证书用途

证书从用途来分,分为“签名证书”和“加密证书”两大类。

“签名证书”的公钥用来验证签名,而“加密证书”的公钥则用来加密数据。我们能够通过调用X509中的ex_kusage字段来推断证书的用途,详细函数实现例如以下:

ULONG COpenSSLCertificate::get_KeyUsage(ULONG* lpUsage)

{

	ULONG lKeyUsage = 0;

	if (!m_pX509)

	{

		return CERT_ERR_INVILIDCALL;

	}

	if (!lpUsage)

	{

		return CERT_ERR_INVALIDPARAM;

	}

	*lpUsage = CERT_USAGE_UNKNOWN;

	//X509_check_ca() MUST be called!

	X509_check_ca(m_pX509);

	lKeyUsage = m_pX509->ex_kusage;

	if ((lKeyUsage & KU_DATA_ENCIPHERMENT) == KU_DATA_ENCIPHERMENT)

	{

		*lpUsage = CERT_USAGE_EXCH;<span style="white-space:pre">	</span>//加密证书

	}

	else if ((lKeyUsage & KU_DIGITAL_SIGNATURE) == KU_DIGITAL_SIGNATURE)

	{

		*lpUsage = CERT_USAGE_SIGN;<span style="white-space:pre">	</span>//签名证书

	}

	return CERT_ERR_OK;

}

五、签名算法

证书的签名算法。是指证书用来签名时使用的算法(包括HASH算法)。签名算法用结构体X509中sig_alg字段来表示。能够通过sig_alg的子字段algorithm返回签名算法对象。从而得到签名算法的Oid。首先。签名算法的Oid常见得定义例如以下:

/*	Certificate siganture alg */

#define CERT_SIGNATURE_ALG_RSA_RSA			"1.2.840.113549.1.1.1"

#define CERT_SIGNATURE_ALG_MD2RSA			"1.2.840.113549.1.1.2"

#define CERT_SIGNATURE_ALG_MD4RSA			"1.2.840.113549.1.1.3"

#define CERT_SIGNATURE_ALG_MD5RSA			"1.2.840.113549.1.1.4"

#define CERT_SIGNATURE_ALG_SHA1RSA			"1.2.840.113549.1.1.5"

#define CERT_SIGNATURE_ALG_SM3SM2			"1.2.156.10197.1.501"

获取签名算法Oid的详细实现函数例如以下:

ULONG COpenSSLCertificate::get_SignatureAlgOid(LPSTR lpscOid, ULONG *pulLen)

{

	char oid[128] = {0};

	ASN1_OBJECT* salg  = NULL;

	if (!m_pX509)

	{

		return CERT_ERR_INVILIDCALL;

	}

	if (!pulLen)

	{

		return CERT_ERR_INVALIDPARAM;

	}

	salg = m_pX509->sig_alg->algorithm;

	OBJ_obj2txt(oid, 128, salg, 1);

	if (!lpscOid)

	{

		*pulLen = strlen(oid) + 1;

		return CERT_ERR_OK;

	}

	if (*pulLen < strlen(oid) + 1)

	{

		return CERT_ERR_BUFFER_TOO_SMALL;

	}

	strcpy_s(lpscOid, *pulLen, oid);

	*pulLen = strlen(oid) + 1;

	return CERT_ERR_OK;

}

因为Windows对SM2/SM3算法还未定义。所以对于ECC(SM2)证书,Windows直接显示签名算法的Oid:“1.2.156.10197.1.501”,例如以下图所看到的:

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

六、颁发者

关于颁发者。我们能够通过调用函数X509_get_issuer_name()获取属性。只是该函数返回的是X509_NAME类型,须要调用函数X509_NAME_get_text_by_NID()将其转化为ASCII字符形式。详细通过以下函数实现:

ULONG COpenSSLCertificate::get_Issuer(LPSTR lpValue, ULONG *pulLen)

{

	int nNameLen = 512;

	CHAR csCommonName[512] = {0};

	X509_NAME *pCommonName = NULL;

	if (!m_pX509)

	{

		return CERT_ERR_INVILIDCALL;

	}

	if (!pulLen)

	{

		return CERT_ERR_INVALIDPARAM;

	}

	pCommonName = X509_get_issuer_name(m_pX509);

	if (!pCommonName)

	{

		return CERT_ERR_FAILED;

	}

	nNameLen = X509_NAME_get_text_by_NID(pCommonName, NID_commonName, csCommonName, nNameLen);

	if (-1 == nNameLen)

	{

		return CERT_ERR_FAILED;

	};

	if (!lpValue)

	{

		*pulLen = nNameLen + 1;

		return CERT_ERR_OK;

	}

	if (*pulLen < (ULONG)nNameLen + 1)

	{

		return CERT_ERR_BUFFER_TOO_SMALL;

	}

	strcpy_s(lpValue, *pulLen, csCommonName);

	*pulLen = nNameLen;

	return CERT_ERR_OK;

}

七、使用者

关于证书使用者,我们能够通过调用函数X509_get_subject_name)获取属性。相同,该函数返回的是X509_NAME类型。须要调用函数X509_NAME_get_text_by_NID()将其转化为ASCII字符形式。详细通过以下函数实现:

ULONG COpenSSLCertificate::get_SubjectName(LPSTR lpValue, ULONG *pulLen)

{

	int iLen = 0;

	int iSubNameLen = 0;

	CHAR csSubName[1024] = {0};

	CHAR csBuf[256] = {0};

	X509_NAME *pSubName = NULL;

	if (!m_pX509)

	{

		return CERT_ERR_INVILIDCALL;

	}

	if (!pulLen)

	{

		return CERT_ERR_INVALIDPARAM;

	}

	pSubName = X509_get_subject_name(m_pX509);

	if (!pSubName)

	{

		return CERT_ERR_FAILED;

	}

	ZeroMemory(csBuf, 256);

	iLen = X509_NAME_get_text_by_NID(pSubName, NID_countryName, csBuf, 256);

	if (iLen > 0)

	{

		strcat_s(csSubName, 1024, "C=");

		strcat_s(csSubName, 1024, csBuf);

		strcat_s(csSubName, 1024, ", ");

	}

	ZeroMemory(csBuf, 256);

	iLen = X509_NAME_get_text_by_NID(pSubName, NID_organizationName, csBuf, 256);

	if (iLen > 0)

	{

		strcat_s(csSubName, 1024, "O=");

		strcat_s(csSubName, 1024, csBuf);

		strcat_s(csSubName, 1024, ", ");

	}

	ZeroMemory(csBuf, 256);

	iLen = X509_NAME_get_text_by_NID(pSubName, NID_organizationalUnitName, csBuf, 256);

	if (iLen > 0)

	{

		strcat_s(csSubName, 1024, "OU=");

		strcat_s(csSubName, 1024, csBuf);

		strcat_s(csSubName, 1024, ", ");

	}

	ZeroMemory(csBuf, 256);

	iLen = X509_NAME_get_text_by_NID(pSubName, NID_commonName, csBuf, 256);

	if (iLen > 0)

	{

		strcat_s(csSubName, 1024, "CN=");

		strcat_s(csSubName, 1024, csBuf);

	}

	if (!lpValue)

	{

		*pulLen = strlen(csSubName) + 1;

		return CERT_ERR_OK;

	}

	if (*pulLen < strlen(csSubName) + 1)

	{

		return CERT_ERR_BUFFER_TOO_SMALL;

	}

	strcpy_s(lpValue, *pulLen, csSubName);

	*pulLen = strlen(csSubName);

	return CERT_ERR_OK;

}

八、有效期限

要获取证书的有效期属性,须要通过调用函数X509_get_notBefore()和X509_get_notAfter()来实现。并且这两个函数返回的时间是time_t类型,须要转化为SYSTEMTIME类型。

详细实现函数例如以下:

ULONG COpenSSLCertificate::get_ValidDate(SYSTEMTIME *ptmStart, SYSTEMTIME *ptmEnd)

{

	int err = 0;

	ASN1_TIME *start = NULL;

	ASN1_TIME *end = NULL;

	time_t ttStart = {0};

	time_t ttEnd = {0};

	LONGLONG nLLStart = 0;

	LONGLONG nLLEnd = 0;

	FILETIME ftStart = {0};

	FILETIME ftEnd = {0};

	if (!m_pX509)

	{

		return CERT_ERR_INVALIDPARAM;

	}

	start = X509_get_notBefore(m_pX509);

	end = X509_get_notAfter(m_pX509);

	ttStart = ASN1_TIME_get(start, &err);

	ttEnd = ASN1_TIME_get(end, &err);

    nLLStart = Int32x32To64(ttStart, 10000000) + 116444736000000000;

    nLLEnd = Int32x32To64(ttEnd, 10000000) + 116444736000000000;

    ftStart.dwLowDateTime = (DWORD)nLLStart;

    ftStart.dwHighDateTime = (DWORD)(nLLStart >> 32);

    ftEnd.dwLowDateTime = (DWORD)nLLEnd;

    ftEnd.dwHighDateTime = (DWORD)(nLLEnd >> 32);

    FileTimeToSystemTime(&ftStart, ptmStart);

    FileTimeToSystemTime(&ftEnd, ptmEnd);

	return 0;

}

至此。X509证书的基本项通过OpenSLL均已解析完成!如需获取证书的扩展项或者公钥等数据。请关注兴许博文。

通过OpenSSL解析X509证书基本项的更多相关文章

  1. [转贴]使用CryptoAPI解析X509证书和P12证书

    原文在 http://bbs.pediy.com/archive/index.php?t-97663.html,但是觉得这篇文章非常好,我抄下来作我笔记用 一.解析X509证书 1.从磁盘上的证书文件 ...

  2. 【openssl】利用openssl完成X509证书和PFX证书之间的互转

    利用openssl完成X509证书和PFX证书之间的互转 # OpenSSL的下载与安装: 1.下载地址: 官方网址—— https://www.openssl.org/source/ OpenSSL ...

  3. 通过OpenSSL解码X509证书文件

    在Windows平台下.假设要解析一个X509证书文件,最直接的办法是使用微软的CryptoAPI. 可是在非Windows平台下,就仅仅能使用强大的开源跨平台库OpenSSL了.一个X509证书通过 ...

  4. 使用Python Openssl库解析X509证书信息

    X.509 证书结构描述 常见的X.509证书格式包括: 后缀 作用 cer/crt 用于存放证书,它是2进制形式存放的,不含私钥 pem 以Ascii来表示,可以用于存放证书或私钥. pfx/p12 ...

  5. 使用windows crypt API解析X509证书

    一.版本号 结构体CERT_INFO中的字段dwVersion即为证书版本,可以直接通过下面的代码获得: DWORD dwCertVer = m_pCertContext->pCertInfo- ...

  6. CSP:使用CryptoAPI解码X509证书内容

    微软的CryptoAPI提供了一套解码X509证书的函数,一个X509证书解码之后,得到一个PCCERT_CONTEXT类型的结构体指针. 通过该结构体,我们就能够获取想要的证书项和属性等. X509 ...

  7. openssl解析国密X509证书

    openssl解析国密X509证书,把公钥拿出来重写一下就行了        x = strToX509(pbCert, pulCertLen);dwRet = getCertPubKey(x, &a ...

  8. OpenSSL 使用拾遗(二)---- X509 证书的 SKID/AKID 字段

    SKID(证书使用者密钥标识符,subject key identifier 的简称)和 AKID(证书颁发机构密钥标识符,authority key identifier 的简称)是 X509 证书 ...

  9. openssl rsa加密,解密以及X509证书的使用

    Openssl的相关使用 生成证书 生成证书见:使用 openssl 生成证书 代码实现 Cert.h #ifndef _CERT_H #define _CERT_H ///header files ...

随机推荐

  1. ubutun lunix 64安装neo4j 图形数据库

    借鉴链接: https://my.oschina.net/zlb1992/blog/915038

  2. OpenJDK源码研究笔记(九)-可恨却又可亲的的异常(NullPointerException)

    可恨的异常 程序开发过程中,最讨厌异常了. 异常代表着程序出了问题,一旦出现,控制台会出现一屏又一屏的堆栈错误信息. 看着就让人心烦. 对于一个新人来讲,遇到异常经常会压力大,手忙脚乱,心生畏惧. 可 ...

  3. GenIcam标准(五)

    2.8.10.Enumeration, EnumEntry Enumeration节点把一个名称(name)映射到一个索引值(index value),并实现Ienumeration接口.Enumer ...

  4. Raphaeljs入门到精通(一)

    <!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <t ...

  5. C#文件拖放至窗口的ListView控件获取文件类型

    using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; usin ...

  6. Windows安装两个mysql数据库步骤

    因为新旧项目数据库版本号差距太大.编码格式不同.引擎也不同,所以仅仅好装两个数据库. 本次安装两个mysql数据库.版本号各自是4.0.18,5.5.36.都是可运行文件直接安装. 本机上之前已经安装 ...

  7. MFC Wizard创建的空应用程序中各个文件内容的解析

    创建的MFC应用程序名为:wd,那么: 一.wd.h解析 // wd.h : main header file for the WD application // #if !defined(AFX_W ...

  8. scikit-learn:3.2. Grid Search: Searching for estimator parameters

    參考:http://scikit-learn.org/stable/modules/grid_search.html GridSearchCV通过(蛮力)搜索參数空间(參数的全部可能组合).寻找最好的 ...

  9. Controller接口控制器

    1.Controller简介 Controller控制器,是MVC中的部分C,为什么是部分呢?因为此处的控制器主要负责功能处理部分: 1.收集.验证请求参数并绑定到命令对象: 2.将命令对象交给业务对 ...

  10. 洛谷T21776 子序列

    题目描述 你有一个长度为 nn 的数列 \{a_n\}{an​} ,这个数列由 0,10,1 组成,进行 mm 个的操作: 1~l~r1 l r :把数列区间 [l, r][l,r] 内的所有数取反. ...