在Windows平台下。假设要解析一个X509证书文件,最直接的办法是使用微软的CryptoAPI。

可是在非Windows平台下,就仅仅能使用强大的开源跨平台库OpenSSL了。一个X509证书通过OpenSSL解码之后,得到一个X509类型的结构体指针。

通过该结构体,我们就能够获取想要的证书项和属性等。

X509证书文件,依据封装的不同。主要有下面三种类型:

*.cer:单个X509证书文件,不私钥,能够是二进制和Base64格式。该类型的证书最常见;

*.p7b:PKCS#7格式的证书链文件。包括一个或多个X509证书。不含私钥。

通常从CA中心申请RSA证书时。返回的签名证书就是p7b格式的证书文件;

*.pfx:PKCS#12格式的证书文件,能够包括一个或者多个X509证书,含有私钥,一般有password保护。通常从CA中心申请RSA证书时。加密证书和RSA加密私钥就是一个pfx格式的文件返回。

以下,针对这三种类型的证书文件,使用OpenSSL进行解码,得到相应的X509结构体指针。须要注意的是,演示样例代码中的证书文件内容都是指二进制数据,假设证书文件本身使用的Base64格式。从文件读取之后,须要将Base64格式的内容转化为二进制数据,才干使用以下的解码函数。

一、解码CER证书文件

CER格式的文件最简单,仅仅须要调用API d2i_X509()就可以。

演示样例代码例如以下(lpCertData为二进制数据):

m_pX509 = d2i_X509(NULL, (unsigned char const **)&lpCertData, ulDataLen);

if (m_pX509 == NULL)

{

	return CERT_ERR_FAILED;

}

二、解码P7B证书文件

因为P7B是个证书链文件,理论上能够包括多个X509证书。可是实际应用中,往往仅仅包括一个文件。所以我们仅仅处理第一个证书。

演示样例代码例如以下:

int rv = 0;

int nid = 0;

PKCS7* p7 = NULL;

STACK_OF(X509) *certs = NULL;

BIO* bio = BIO_new(BIO_s_mem());

// 解码p7b内容

rv = BIO_write(bio, lpCertData, ulDataLen);

p7 = d2i_PKCS7_bio(bio, NULL);

BIO_free(bio);

// 获取P7的详细格式

nid = OBJ_obj2nid(p7->type);

if(nid == NID_pkcs7_signed) 

{

    certs = p7->d.sign->cert;


else if(nid == NID_pkcs7_signedAndEnveloped) 

{

    certs = p7->d.signed_and_enveloped->cert;

}

// 仅仅支持单证书的p7b

m_pX509 = sk_X509_value(certs, 0);

if (m_pX509 == NULL) 

{

    return CERT_ERR_FAILED;

}

如在特殊的情况下。须要处理整个证书链中的全部证书。则仅仅须要循环调用sk_X509_value()知道返回为NULL为止。

三、解码PFX证书文件

解码PFX证书时,实际上是获取X509证书、私钥数据和CA证书链一系列对象,同一时候须要校验PFX的password。演示样例代码例如以下:

int rv = 0;

PKCS12 *p12 = NULL;

EVP_PKEY *pkey = NULL;

STACK_OF(X509) *ca = NULL;

BIO *bio;

// 解码P12内容

bio = BIO_new(BIO_s_mem());

rv = BIO_write(bio, lpCertData, ulDataLen);

p12 = d2i_PKCS12_bio(bio, NULL);

BIO_free_all(bio);

// 获取证书对象

rv = PKCS12_parse(p12, lpscPassword, &pkey, &m_pX509, &ca);

if (!rv || !m_pX509)

{

	rv = CERT_ERR_FAILED;

	goto FREE_MEMORY;

}

// 释放内存

FREE_MEMORY:

PKCS12_free(p12);

EVP_PKEY_free(pkey);

sk_X509_free(ca);

至此。三种常见证书文件的解码以完毕,通过解码得到的证书上下文结构体指针m_pX509。通过该指针就能够解析证书的项和扩展属性了。

详细的解析方法,将在兴许的Blog中逐一介绍。

相关博文:通过OpenSSL解析证书基本项

通过OpenSSL解码X509证书文件的更多相关文章

  1. 通过OpenSSL解析X509证书基本项

    在之前的文章"通过OpenSSL解码X509证书文件"里.讲述了怎样使用OpenSSL将证书文件解码,得到证书上下文结构体X509的方法. 以下我们接着讲述怎样通过证书上下文结构体 ...

  2. 【openssl】利用openssl完成X509证书和PFX证书之间的互转

    利用openssl完成X509证书和PFX证书之间的互转 # OpenSSL的下载与安装: 1.下载地址: 官方网址—— https://www.openssl.org/source/ OpenSSL ...

  3. CSP:使用CryptoAPI解码X509证书内容

    微软的CryptoAPI提供了一套解码X509证书的函数,一个X509证书解码之后,得到一个PCCERT_CONTEXT类型的结构体指针. 通过该结构体,我们就能够获取想要的证书项和属性等. X509 ...

  4. OpenSSL 使用拾遗(二)---- X509 证书的 SKID/AKID 字段

    SKID(证书使用者密钥标识符,subject key identifier 的简称)和 AKID(证书颁发机构密钥标识符,authority key identifier 的简称)是 X509 证书 ...

  5. 通过OpenSSL来生成二进制格式证书文件(pfx和cer)

    1.生成RSA字符串私钥 genrsa -out private-rsa.key 2.由1中私钥导出*.cer二进制公钥文件 req -new -x509 -key private-rsa.key - ...

  6. 转换java keytools的keystore证书到OPENSSL的PEM格式文件

    背景:原先业务使用的前端为haproxy,直接端口转发至tomcat,后端进行ssl连接,所以当时生成的步骤如下 ? 1 2 •生成密钥对:keytool -genkey -alias tomcat- ...

  7. 用OpenSSL命令行生成证书文件

    用OpenSSL命令行生成证书文件 1.首先要生成服务器端的私钥(key文件): openssl genrsa -des3 -out server.key 1024 运行时会提示输入密码,此密码用于加 ...

  8. 利用keytool、openssl生成证书文件

    转载请标明出处:http://blog.csdn.net/shensky711/article/details/52225073 本文出自: [HansChen的博客] 用openssl指令逐步生成各 ...

  9. openssl rsa加密,解密以及X509证书的使用

    Openssl的相关使用 生成证书 生成证书见:使用 openssl 生成证书 代码实现 Cert.h #ifndef _CERT_H #define _CERT_H ///header files ...

随机推荐

  1. 作业还是作孽?——Leo鉴书79

    中国孩子,尤其是城市孩子课业过重是个不争的事实.儿子上幼儿园的作业已经能做到8点多了,上小学之后不知道是不是会整得更晚.于是入手这本<家庭作业的迷思>,认真读读.请特别注意,不要买书叫&q ...

  2. word2013 无endnote选项卡咋办

    word2013 无endnote选项卡咋办? 前提: 已经安装了endnotex7,office word2013 word->文件->选项->加载项->最下面的 管理 &q ...

  3. Arduino 入门程序示例之一片 LED(2015-06-11)

    概述 从点到线,从线到面.现在开始要来一片的 LED 了,一大波的 LED 正在到来! 示例程序 因为手头没有现成的模块,手头只有 595,所以这里每一个示例程序都是使用 74HC595 扩展 IO ...

  4. 关于C++异常机制的笔记(SEH, try-catch)

    昨天晚上加班解决了一个问题,是由于无法正确的捕获到异常导致的.刚开始用try-catch,但是没法捕获到异常:后面改成SEH异常才解决.因此今天将这个问题重新梳理了一遍,关于try-catch, SE ...

  5. 摘抄python __init__

    注意1.__init__并不相当于C#中的构造函数,执行它的时候,实例已构造出来了. 1 2 3 4 5 class A(object):     def __init__(self,name):   ...

  6. java正则去掉小数点后多余0

    需求:已知字符串为一数字字符形式,多为float,double转换过来,将其后多余的0与.去掉. package test; /** * 去掉多余的.与0 * @author Hust * @Time ...

  7. STL--G - For Fans of Statistics(两个推断条件-二分)

    G - For Fans of Statistics Time Limit:1000MS     Memory Limit:65536KB     64bit IO Format:%I64d & ...

  8. iTunes Store:隐藏和取消隐藏已购项目

    使用 Mac 或 PC 上的 iTunes 来隐藏或取消隐藏已购项目. 如何隐藏已购项目 在 Mac 或 PC 上打开 iTunes. 从 Store 菜单中,选取商店 > 登录,然后输入您的 ...

  9. [VBS]_[活动分组程序]

    场景: 1.每次搞活动都需要分组,比如20个人分3个组,如何才能更公平的分组,想到的只能是随机分组程序. 2.时间关系并没有实现男女平衡的分组,有时间的哥们可以自己实现. 文件1:分组程序.vbs,记 ...

  10. No resource found that matches the given name 'android:WindowTitle'

    当你的androidAPI 由2.1版本更换成2.2版本时:  res/vavlues/styles.xml中使用的android:WindowTitle会报以下异常, error: Error re ...