从本期开始,记录一些在使用 OpenSSL 过程中碰到的问题及解决办法

在 Linux 下需要生成 pkcs12 文件,立即想到 OpenSSL。键入如下命令

~ # openssl pkcs12 -export -inkey clientkey.pem -in client.crt -out client.p12

No certificate matches private key

~ # openssl version

OpenSSL 0.9.8j  Jan

奇怪,明明 clientkey.pem 和 client.crt 是刚生成的配套文件,其中前者保存私钥,后者则是用户证书(包含公钥),怎么会出错?

于是切换到 Windows 平台再验证一番,虽然版本不同,但仍然报错,只不过显示的错误信息不一样

d:\>openssl pkcs12 -export -inkey clientkey.pem -in client.crt -out client.p12

WARNING: can't open config file: /usr/local/ssl/openssl.cnf

Loading 'screen' into random state - done

unable to load certificates

d:\>openssl version

WARNING: can't open config file: /usr/local/ssl/openssl.cnf

OpenSSL 1.0.1f 6 Jan 2014

没办法,只得祭出调试器,到源码内部看个究竟。既然在 Windows 平台,就用顺手的 Visual Studio。打开(以前建立的)OpenSSL 解决方案(OpenSSL 版本号 1.0.1f),切换到 Debug 配置,确保该配置实际包含【-Zi】调试选项。

准备下断点,该在哪里下呢?

由于错误信息为 unable to load certificates ,其中过程肯定涉及到证书加载函数,所以应该是 load_cert(不要问我为什么知道,因为我熟悉^_^)。如果不熟悉,可以在 Source Insight 中用 F7 调出【Browse Project Symbols】对话框,输入猜测的关键字,比如 load/certificate 等,也能找到 load_cert 函数。

反正不论如何,找到了怀疑函数 load_cert。在 Visual Studio 中新建此函数的断点,并在 IDE 中配置好命令参数和工作目录。F5 启动,果然命中,说明成功了一半。继续跟踪,最后得到出错的位置如下(位于文件 crypto\pem\pem_lib.c 中)

           buf[]='\0';

           for (;;)

               {

               i=BIO_gets(bp,buf,);

               if (i <= )

                   {

                   PEMerr(PEM_F_PEM_READ_BIO,PEM_R_NO_START_LINE);

                   goto err; // <-- 【在此处出错,并跳出】

                   }

出错的调用栈为

openssl.exe!main
openssl.exe!do_cmd
openssl.exe!pkcs12_main
openssl.exe!load_certs
openssl.exe!load_certs_crls
libeay32.dll!PEM_X509_INFO_read_bio
libeay32.dll!PEM_read_bio

自底向上逐个切换调用栈,查看是哪里引发了问题,结果在 pkcs12_main 函数(文件 apps\pkcs12.c)中,发现如下一处调用

           /* Load in all certs in input file */

           if(!(options & NOCERTS))

               {

               certs = load_certs(bio_err, infile, FORMAT_PEM, NULL, e,

                                   "certificates"); // <-- 【以 PEM 格式加载证书】

               if (!certs)

                   goto export_end;

原来证书要求以 PEM 格式加载,回过头用文本编辑器打开 client.crt。果然,此文件是 DER 格式的。

名不副实,自然是要出问题的。

原因知道了,解决办法也立即有了。使用如下命令将证书转为 PEM 格式

d:\>openssl x509 -in client.crt -inform der -out client.pem

然后再执行一次 pkcs12 命令

d:\>openssl pkcs12 -export -inkey clientkey.pem -in client.pem -out client.p12

问题得到解决。

自然想到,难道 pkcs12 命令就不提供 -inform 的格式转换选项?
运行命令【openssl pkcs12 ?】,可以看到确实没有提供 -inform 选项,看来还是有改进的空间。

OpenSSL 使用拾遗(一)---- 生成 pkcs12 文件的更多相关文章

  1. C++ OpenSSL 之二:生成RSA文件

    1.等同于生成private key: openssl genrsa -out "save_path" 2048 2.代码如下 bool MakeRsaKeySSL(const c ...

  2. C++ OpenSSL 之五:生成P12文件

    1.等同于使用: openssl pkcs12 -export -inkey "key_path" -in "pem_path" -out "save ...

  3. C++ OpenSSL 之三:生成CSR文件

    1.等同于使用: openssl req -new -key "key_path" -out "save_path" -subj "/emailAdd ...

  4. 使用OpenSSL生成CSR文件,并申请全球通用SSL证书

    http://www.openssl.org 上只有OpenSSL的原代码下载,为了方便Windows用户使用OpenSSL,我们特地为您准备了OpenSSL 0.9.8.a for win32的可执 ...

  5. 利用keytool、openssl生成证书文件

    转载请标明出处:http://blog.csdn.net/shensky711/article/details/52225073 本文出自: [HansChen的博客] 用openssl指令逐步生成各 ...

  6. 用OpenSSL命令行生成证书文件

    用OpenSSL命令行生成证书文件 1.首先要生成服务器端的私钥(key文件): openssl genrsa -des3 -out server.key 1024 运行时会提示输入密码,此密码用于加 ...

  7. openssl asn.1 生成DER文件,把DER文件转换成内部数据结构

    1 在实现之前,先来介绍如何生成der文件,有了源数据才能进行验证和测试.生成的方法是使用在openssl的命令中使用*asn1parse*根据配置文件来生成.详情如下: 1.1 创建配置文件test ...

  8. OpenSSL 1.0.0生成p12、jks、crt等格式证书的命令个过程(转)

    OpenSSL 1.0.0生成p12.jks.crt等格式证书的命令个过程   此生成的证书可用于浏览器.java.tomcat.c++等.在此备忘!     1.创建根证私钥命令:openssl g ...

  9. 用openssl为WEB服务器生成证书(自签名CA证书,服务器证书)

    用openssl为WEB服务器生成证书(自签名CA证书,服务器证书) 来源: https://www.cnblogs.com/osnosn/p/10608455.html 来自osnosn的博客 写于 ...

随机推荐

  1. 兼容cookie和webStorage

    html页面     <!DOCTYPE html> <html lang="en"> <head>     <meta charset= ...

  2. 点击按钮div显示,点击div或者document,div隐藏

    $("button").click(function(event){ event.stopPropagation(); if($("div").is(':hid ...

  3. 项目部署到tomcat Root中后导致 WebApplicationContext 初始化两次的解决方法

    上一篇文章刚说项目部署到tomcat的ROOT中,今天就发现一个问题.通过eclipse启动tomcat时候,WebApplicationContext 初始化两次: 现象:   通过eclipse控 ...

  4. windows7 64,32位下scrapy爬虫框架的环境搭建

    适用于python 2.7 64位安装 一.操作系统:WIN7 64位 二.python版本:2.7 64位(scrapy目前不支持3.x) 不确定位数的,看图 三.安装相关软件:(可以从我的百度网盘 ...

  5. 浅谈对Js闭包的理解

    理解Js的闭包,首先让我们先看几个概念 执行环境(executive environment)每个函数都有自己的执行环境,匿名函数默认为全局环境. 作用域链(scope chain)子函数继承父函数, ...

  6. 在input中实现点点点与当鼠标移上去时显示剩余的字

    项目中经常会遇到这个问题,在一个内容框中,由于框的宽度是固定的,但是里面的内容却有很多,那么这个时候需求里就要求第一,多余的字要以点点点的形式隐藏,第二,当鼠标移上去的时候要以title提示的方式显示 ...

  7. ios基础篇(二十八)—— UITableView的上拉加载

    本文主要展示一个demo实现UITableView的上拉加载数据: 先看看效果图: 接着上拉,加载更多数据: 主要实现的效果是在我们上拉结束拖拽之后,开始加载数据,数据加载的过程中有滚动轮提示用户正在 ...

  8. POJ 3087 Shuffle'm Up

    Shuffle'm Up Time Limit:1000MS     Memory Limit:65536KB     64bit IO Format:%I64d & %I64u Submit ...

  9. 读写CSV文件

    var allFiles = Directory.GetFiles(@"D:\uploadpdf", "*.csv"); string dataIsNull = ...

  10. Highcharts 在低版本 IE 上使用注意事项及个人总结

    很多人经常遇到图表在主流浏览器上运行正常,在低版本IE(包括IE6.IE7.IE8等)下运行出错(图表显示不出来或显示不正常)的情况,这不是兼容性问题,而是 IE 浏览器自身的一些限制,我们只需要注意 ...