OPENSSL X509證書驗證

openssl實現了標準的x509v3數字證書,其源碼在crypto/x509和crypto/x509v3中。其中x509目錄實現了數字證書以及證書申請相關的各種函數,包括了X509和X509_REQ結構的設置、讀取、打印和比較;數字證書的驗證、摘要;各種公鑰的導入導出等功能。x509v3目錄主要實現了數字證書擴展項相關的函數。

在進行身份認證時,首先要對發送給服務器進行認證的x509證書有效性進行驗證,在Openssl中,可以用一個API接口可以實現:int X509_verify_cert(X509_STORE_CTX *ctx);
接口中形參是X509_STORE_CTX(X509證書庫上下文)類型,在X509證書庫上下文中,存在一個X509證書庫和一個待驗證的X509證書,可以加入信任的證書鏈,也可以加入CRL證書鏈(證書撤銷列表)~
對X509證書有效性進行驗證可以由以下幾個函數來完成~

X509_STORE_CTX *ctx; //證書上下文  
X509_STORE *cert_store; //證書庫,存在證書鏈  
X509* x509; //待驗證X509證書  
ctx = X509_STORE_CTX_new();  X509_STORE_CTX_init(ctx,cert_store,x509,NULL);  X509_verify_cert(ctx);//根據返回值可以確認X509證書是否有效,也可以根據X509_STORE_CTX_get_error和X509_verify_cert_error_string函數來確認無效原因

示例程序如下:

#include <stdio.h>
#include <string.h>
#include <stdlib.h>#include <openssl/evp.h>
#include <openssl/x509.h>#define CERT_PATH       "/home/dengaj/Desktop/openssl"
#define ROOT_CERT       "RootCert.crt"
#define CARD_CERT       "CardCert.crt"
#define GET_DEFAULT_CA_CERT(str) sprintf(str, "%s/%s", CERT_PATH, ROOT_CERT)
#define GET_CUSTOM_CERT(str, path, name) sprintf(str, "%s/%s", path, name)#define MAX_LEGTH 4096int my_load_cert(unsigned char *str, unsigned long *str_len,const char *verify_cert, const unsigned int cert_len)
{FILE *fp;fp = fopen(verify_cert, "rb");if ( NULL == fp){fprintf(stderr, "fopen fail\n");return -1;}*str_len = fread(str, 1, cert_len, fp);fclose(fp);return 0;
}X509 *der_to_x509(const unsigned char *der_str, unsigned int der_str_len)
{X509 *x509;x509 = d2i_X509(NULL, &der_str, der_str_len);if ( NULL == x509 ){fprintf(stderr, "d2i_X509 fail\n");return NULL;}return x509;
}
int x509_verify()
{int ret;char cert[MAX_LEGTH];unsigned char user_der[MAX_LEGTH];unsigned long user_der_len;X509 *user = NULL;unsigned char ca_der[MAX_LEGTH];unsigned long ca_der_len;X509 *ca = NULL;X509_STORE *ca_store = NULL;X509_STORE_CTX *ctx = NULL;STACK_OF(X509) *ca_stack = NULL;/* x509初始化 */ca_store = X509_STORE_new();ctx = X509_STORE_CTX_new();/* root ca*/GET_DEFAULT_CA_CERT(cert);/* 從文件中讀取 */my_load_cert(ca_der, &ca_der_len, cert, MAX_LEGTH);/* DER編碼轉X509結構 */ca = der_to_x509(ca_der, ca_der_len);/* 加入證書存儲區 */ret = X509_STORE_add_cert(ca_store, ca);if ( ret != 1 ){fprintf(stderr, "X509_STORE_add_cert fail, ret = %d\n", ret);goto EXIT;}/* 需要校驗的證書 */GET_CUSTOM_CERT(cert, CERT_PATH, CARD_CERT);my_load_cert(user_der, &user_der_len, cert, MAX_LEGTH);user = der_to_x509(user_der, user_der_len);ret = X509_STORE_CTX_init(ctx, ca_store, user, ca_stack);if ( ret != 1 ){fprintf(stderr, "X509_STORE_CTX_init fail, ret = %d\n", ret);goto EXIT;}//openssl-1.0.1c/crypto/x509/x509_vfy.hret = X509_verify_cert(ctx);if ( ret != 1 ){fprintf(stderr, "X509_verify_cert fail, ret = %d, error id = %d, %s\n",ret, ctx->error, X509_verify_cert_error_string(ctx->error));goto EXIT;}fprintf(stdout, "X509_verify_cert successful\n");
EXIT:X509_free(user);X509_free(ca);X509_STORE_CTX_cleanup(ctx);X509_STORE_CTX_free(ctx);X509_STORE_free(ca_store);return ret == 1 ? 0 : -1;
}int main()
{OpenSSL_add_all_algorithms();x509_verify();return 0;
}

?

第二種方法使用

int X509_verify(X509 * x509, EVP_PKEY * pkey);
  X509 * root;X509 * mycert;//Get root certificate into root
//Get mycert into mycert.//Get the public key.
EVP_PKEY * pubkey = X509_get_pubkey(root);//verify. result less than or 0 means not verified or some error.
int result = X509_verify(mycert, pubkey);//free the public key.
EVP_PKEY_free(pubkey);

?

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/news/384935.shtml
繁體地址,請注明出處:http://hk.pswp.cn/news/384935.shtml
英文地址,請注明出處:http://en.pswp.cn/news/384935.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

linux網絡編程九:splice函數,高效的零拷貝

linux網絡編程九:splice函數,高效的零拷貝

1. splice函數 #include <fcntl.h> ssize_t splice(int fd_in, loff_t *off_in, int fd_out, loff_t *off_out, size_t len, unsigned int flags); splice用于在兩個文件描述符之間移動數據&#xff0c; 也是零拷貝。 fd_in參數是待輸入描述符。如果它是一個管道文件…
閱讀更多...
sys/queue.h

sys/queue.h

概述 sys/queue.h是LINUX/UNIX系統下面的一個標準頭文件&#xff0c;用一系列的數據結構定義了一隊列。包括singly-lined list, list, simple queue(Singly-linked Tail queue), tail queue, circle queue五種。 引用此頭文件對這五種數據結構的描述&#xff1a; A singly-lin…
閱讀更多...
sys/queue.h分析(圖片復制不過來,查看原文)

sys/queue.h分析(圖片復制不過來,查看原文)

這兩天有興趣學習使用了下系統頭文件sys/queue.h中的鏈表/隊列的實現&#xff0c;感覺實現的很是優美&#xff0c;關鍵是以后再也不需要自己實現這些基本的數據結構了&#xff0c;哈哈&#xff01; 我的系統環境是 正好需要使用隊列&#xff0c;那么本篇就以其中的尾隊列&…
閱讀更多...
線程池原理及C語言實現線程池

線程池原理及C語言實現線程池

備注&#xff1a;該線程池源碼參考自傳直播客培訓視頻配套資料&#xff1b; 源碼&#xff1a;https://pan.baidu.com/s/1zWuoE3q0KT5TUjmPKTb1lw 密碼&#xff1a;pp42 引言&#xff1a;線程池是一種多線程處理形式&#xff0c;大多用于高并發服務器上&#xff0c;它能合理有效…
閱讀更多...
iptables 的mangle表

iptables 的mangle表

mangle表的主要功能是根據規則修改數據包的一些標志位&#xff0c;以便其他規則或程序可以利用這種標志對數據包進行過濾或策略路由。 內網的客戶機通過Linux主機連入Internet&#xff0c;而Linux主機與Internet連接時有兩條線路&#xff0c;它們的網關如圖所示。現要求對內網進…
閱讀更多...
Linux常用命令(一)

Linux常用命令(一)

history 查看歷史命令 ctrlp 向上翻歷史紀錄 ctrln 向下翻歷史紀錄 ctrlb 光標向左移動 ctrlf 光標向右移動 ctrla 光標移動到行首 ctrle 光標移動到行尾 ctrlh 刪除光標前一個 ctrld 刪除光標后一個 ctrlu 刪除光標前所有 ctrlL clear命令 清屏 tab鍵可以補全命令/填充路徑…
閱讀更多...
ip route / ip rule /iptables 配置策略路由

ip route / ip rule /iptables 配置策略路由

Linux 使用 ip route , ip rule , iptables 配置策略路由 要求192.168.0.100以內的使用 10.0.0.1 網關上網&#xff0c;其他IP使用 20.0.0.1 上網。 首先要在網關服務器上添加一個默認路由&#xff0c;當然這個指向是絕大多數的IP的出口網關。 ip route add default gw 20.0.0.…
閱讀更多...
iptables:tproxy做透明代理

iptables:tproxy做透明代理

什么是透明代理 客戶端向真實服務器發起連接&#xff0c;代理機冒充服務器與客戶端建立連接&#xff0c;并以客戶端ip與真實服務器建立連接進行代理轉發。因此對于客戶端與服務器來說&#xff0c;代理機都是透明的。 如何建立透明代理 本地socket捕獲數據包 nat方式 iptables…
閱讀更多...
編譯參數(-D)

編譯參數(-D)

程序中可以使用#ifdef來控制輸出信息 #include<stdio.h> #define DEBUGint main() {int a 10;int b 20;int sum a b; #ifdef DEBUGprintf("%d %d %d\n",a,b,sum); #endifreturn 0; } 這樣在有宏定義DEBGU的時候就會有信息輸出 如果注銷掉宏定義就不會有輸…
閱讀更多...
libpcap講解與API接口函數講解

libpcap講解與API接口函數講解

ibpcap&#xff08;Packet Capture Library&#xff09;&#xff0c;即數據包捕獲函數庫&#xff0c;是Unix/Linux平臺下的網絡數據包捕獲函數庫。它是一個獨立于系統的用戶層包捕獲的API接口&#xff0c;為底層網絡監測提供了一個可移植的框架。 一、libpcap工作原理 libpcap…
閱讀更多...
Linux常用命令(三)

Linux常用命令(三)

man 查看幫助文檔 alias ls : 查看命令是否被封裝 echo &#xff1a; 顯示字符串到屏幕終端 echo $PATH : 將環境變量打印出來 poweroff&#xff1a;關機 rebot&#xff1a;重啟 需要管理員權限 vim是從vi發展過來的文本編輯器 命令模式&#xff1a;打開文件之后默認進入命令模…
閱讀更多...
淺談iptables防SYN Flood攻擊和CC攻擊

淺談iptables防SYN Flood攻擊和CC攻擊

何為syn flood攻擊&#xff1a; SYN Flood是一種廣為人知的DoS&#xff08;拒絕服務攻擊&#xff09;是DDoS&#xff08;分布式拒絕服務攻擊&#xff09;的方式之一&#xff0c;這是一種利用TCP協議缺陷&#xff0c;發送大量偽造的TCP連接請求&#xff0c;從而使得被攻擊方資源…
閱讀更多...
Linux之靜態庫

Linux之靜態庫

命名規則&#xff1a; lib 庫的名字 .a 制作步驟 生成對應.o文件 .c .o 將生成的.o文件打包 ar rcs 靜態庫的名字&#xff08;libMytest.a&#xff09; 生成的所有的.o 發布和使用靜態庫&#xff1a; 1&#xff09; 發布靜態 2&#xff09; 頭文件 文件如下圖所示&…
閱讀更多...
iptables詳解和練習

iptables詳解和練習

防火墻&#xff0c;其實說白了講&#xff0c;就是用于實現Linux下訪問控制的功能的&#xff0c;它分為硬件的或者軟件的防火墻兩種。無論是在哪個網絡中&#xff0c;防火墻工作的地方一定是在網絡的邊緣。而我們的任務就是需要去定義到底防火墻如何工作&#xff0c;這就是防火墻…
閱讀更多...
Linux之動態庫

Linux之動態庫

命令規則 lib 名字 .so 制作步驟 1&#xff09;生成與位置無關的代碼&#xff08;生成與位置無關的代碼&#xff09; 2&#xff09;將.o打包成共享庫&#xff08;動態庫&#xff09; 發布和使用共享庫 動態庫運行原理&#xff1a; 生成動態庫&#xff1a; gcc -fPIC -c *.c -…
閱讀更多...
linux下源碼安裝vsftpd-3.0.2

linux下源碼安裝vsftpd-3.0.2

1&#xff09;在http://vsftpd.beasts.org/網站中查找并下載 vsftpd-3.0.2.tar.gz源碼包 2)如果自己的機器上安裝有yum可以用yum grouplist | less指令查看以下開發環境&#xff0c;當然這一步不做也行 3&#xff09;拆解源碼包 4&#xff09;查看源碼包 5&#xff09;編輯…
閱讀更多...
Linux之GDB調試命令

Linux之GDB調試命令

gdb啟動 gdb 程序名 l 查看源代碼&#xff08;默認顯示十行&#xff09; l 文件名&#xff1a;行數 l 文件名&#xff1a;函數名 添加斷點 break 行數 &#xff08;b 也行&#xff09; b 15 if i 15 條件斷點 i b 查看斷點信息 start 程序執行一步 n 單步調試 s 單步&#xf…
閱讀更多...
Gdb 調試core文件詳解

Gdb 調試core文件詳解

一&#xff0c;什么是coredump 我們經常聽到大家說到程序core掉了&#xff0c;需要定位解決&#xff0c;這里說的大部分是指對應程序由于各種異常或者bug導致在運行過程中異常退出或者中止&#xff0c;并且在滿足一定條件下&#xff08;這里為什么說需要滿足一定的條件呢&#…
閱讀更多...
Linux之GDB命令(二)

Linux之GDB命令(二)

gdb命令&#xff1a; 前提條件&#xff1a;可執行文件必須包含調試信息 gcc -ggdb 文件名 –啟動gdb調試查看代碼命令 當前文件&#xff1a; list 行號&#xff08;函數名&#xff09; 指定文件&#xff1a; list 文件名&#xff1a;行號&#xff08;函數名&#x…
閱讀更多...
Windows下編譯openssl庫

Windows下編譯openssl庫

1、概述 OpenSSL是一個開放源代碼的軟件庫包&#xff0c;它實現了 SSL&#xff08;Secure SocketLayer&#xff09;和 TLS&#xff08;Transport Layer Security&#xff09;協議&#xff0c;所以應用程序可以使用這個包來進行安全通信&#xff0c;避免竊聽&#xff0c;同時確…
閱讀更多...
最新文章

Copyright @ 2022~2023