通过OpenSSL获取证书扩展属性之一:“基本约束”

最新推荐文章于 2024-04-18 09:59:20 发布
转载 最新推荐文章于 2024-04-18 09:59:20 发布 · 2.8k 阅读 · 1

本文介绍如何使用OpenSSL库解析数字证书中的扩展项,特别是“基本约束”扩展属性,并提供了一个具体的C++代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

转载出处:http://blog.youkuaiyun.com/yyfzy/article/details/47952817



前面通过一系列文章,讲述了如使用OpenSSL解析证书的基本项,现在我们来看看如何获取证书的扩展项。

      目前CA中心颁发的证书,都有一些扩展项属性,用来限定证书的用途、提供颁发者信息、以及CRL的下载地址等等。在下图中,红色区域内的属性都为证书的扩展属性。


      在OpenSSL中,提供了函数X509_get_ext_d2i(),可以通过指定属性的NID来返回对应的结构体。该函数的定义如下:

[cpp] view plain copy
  1. void    *   X509_get_ext_d2i(X509 *x, int nid, int *crit, int *idx);  
其中:

第一个参数x,为证书结构体X509指针;

第二个参数nid,为要获取的扩展对象NID,“基本约束”的NID为NID_basic_constraints;

第三个参数crit,为返回参数,表明该扩展属性是否为关键扩展;

第四个参数idx,为可选返回参数,表明该扩展的序号,可以传NULL。

在OpenSSL中,“基本约束”扩展属性的结构体定义如下:

[cpp] view plain copy
  1. typedef struct BASIC_CONSTRAINTS_st {  
  2. int ca;  
  3. ASN1_INTEGER *pathlen;  
  4. } BASIC_CONSTRAINTS;  
其中:

第一个成员ca,表明该证书可否作为CA证书签发下一级证书,一般用户证书该值都为0。

第二个参数pathlen,只有当ca=1时才有效,表明具体可以签发的证书级别。

使用OpenSSL获取“基本约束”扩展属性的完整函数代码如下:

[cpp] view plain copy
  1. ULONG COpenSSLCertificate::_GetExtBasicConstraints(X509 *pX509Cert, LPSTR lpscProperty, ULONG* pulLen)  
  2. {  
  3.     int crit = 0;  
  4.     char value[512] = {0};  
  5.     BASIC_CONSTRAINTS *bcons = NULL;  
  6.   
  7.     if (!m_pX509)  
  8.     {  
  9.         return CERT_ERR_INVILIDCALL;  
  10.     }  
  11.     if (!pulLen)  
  12.     {  
  13.         return CERT_ERR_INVALIDPARAM;  
  14.     }  
  15.   
  16.     bcons = (BASIC_CONSTRAINTS*)X509_get_ext_d2i(m_pX509, NID_basic_constraints, &crit, NULL);  
  17.     if (!bcons)  
  18.     {  
  19.         return CERT_ERR_ATTR_NOTEXIST;  
  20.     }  
  21.   
  22.     if (!bcons->ca)  
  23.     {  
  24.         strcat_s(value, 512, "Subject Type=End Entity; ");  
  25.         strcat_s(value, 512, "Path Length Constraint=None");  
  26.     }  
  27.     else  
  28.     {  
  29.         char temp[128] = {0};  
  30.         sprintf_s(temp, 128, "Path Length Constraint=%d", bcons->pathlen);  
  31.         strcat_s(value, 512, "Subject Type=CA; ");  
  32.         strcat_s(value, 512, temp);  
  33.     }  
  34.     BASIC_CONSTRAINTS_free(bcons);  
  35.   
  36.     if (!lpscProperty)  
  37.     {  
  38.         *pulLen = strlen(value) + 1;  
  39.     }  
  40.     if (*pulLen < (strlen(value) + 1))  
  41.     {  
  42.         return CERT_ERR_BUFFER_TOO_SMALL;  
  43.     }  
  44.     strcpy_s(lpscProperty, *pulLen, value);  
  45.   
  46.     return CERT_ERR_OK;  


OpenSSL 安装与配置
yonggeit的博客
10-26 2741
系统需求 OpenSSL可以在多种操作系统上安装,但是本文只讨论 OpenSSL-0.9.8g 在Linux或BSD系统上的安装。 安装OpenSSL的系统需求很低,只要有 ANSI C 编译器(推荐GCC)、Perl 5 、make 即可。但是OpenSSL的测试程序依赖于GNU BC,如果你需要运行测试程序的话,就要事先安装好它。 配置 将下载回来的压缩包解压,进入解压后的目录,即可使用 config 或 Configure 脚本进行配置。OpenSSL的配置脚本与大多数典型的软件包不同,它有自己的一套
OpenSSL中文手册之命令行详解(未完待续)
liao20081228的博客
08-14 2万+
1 标准命令  查看帮助的办法:openssl 命令 -h。1.1 标准命令 命令 功能 备注 证书相关 req PKCS10 X.509证书签名请求(CSR)管理。 申请证书 pkcs7 PKCS7加密消息语法,各种消息存放的格式标准;用于处理DER或者PEM格式的pkcs7文件 消息格式 pkcs12 PKCS#12数据管理。工具,用于生
06.Openssl基本概念
艾小小雨的博客
02-01 414
6.1 配置文件openssl的许多应用程序和函数使用配置文件获取默认的信息和选项,所以,要使用Opnessl,尤其使用openssl的指令。6.1.1 配置文件概述openssl提供的主要配置文件是openssl.cnf,他集成了openssl所要的配置文件选项的大部分内容。使用形式:变量名=变量值注意事项:a.变量值域可支持由"\"或者需要用其他引用符号声明的特殊字符,如果“\"符号...
获取证书扩展域信息
xuting559的博客
07-20 2667
X509* cert = NULL; BIO* biox509 = NULL; char buf[200]; char* szExtInfo = new char[200]; int len=0; int k,iExt = 0; int Ext_count; char issuer_buffer[1024] = {0};     DWORD nNameSize = 1024; C
X509证书的扩展(Extensions)
展望、进击
04-18 1475
在数字安全领域,X.509证书扩展(Extensions)扮演着至关重要的角色,提供了证书定制化的可能性,以适应不同的安全需求和策略。本文将详细探讨X.509证书中的扩展功能、它们的种类及其在保证网络安全中的重要性。🔒🌟
java 证书访问_java – 如何访问证书扩展(信息)值?
weixin_35638129的博客
03-04 513
我有一个由变量访问的X509Certificate …当我试图获取证书的详细信息时,我设法通过提供的功能轻松获得CriticalExtensions值.但是我想要达到的是无关键扩展,它存储在certifcate中并由Object ID#2.5.29.32表示我使用了以下功能cert.getExtensionValue("2.5.29.32");但它没有给我价值..任何人都可以告诉我我做错了什么?P...
通过OpenSSL获取证书扩展属性之二:“密钥用法”和"增强型密钥用法"
密码开发者
09-10 1万+
介绍如何使用Openssl解析CA证书获取“密钥用法”和“增强型密钥用法”扩展属性
HTTPS学习笔记:(3)一文彻底了解PKI与证书
不积跬步,无以至千里;不积小流,无以成江海!
12-13 4250
1. PKI PKI(public key infrastructure)的目标是实现不同成员在不见面的情况下进行安全通信,采用的模型是基于证书颁发机构( certification authority或certificate authority, CA)签发 的证书。PKI体系结构如下图所示: 订阅人:指那些需要证书来提供安全服务的团体。 登记机构:主要是完成一些证书签发的相关管理工作。可以...
openssl对SSL证书及密钥操作说明
adrninistrat0r的博客
03-01 5371
1. 使用OpenSSL自建CA OpenSSL是一个免费的、开源的加密库,用于处理数字证书,提供了一些命令行工具。部分工具可以提供证书颁发机构的相关功能。 使用OpenSSL可以自建测试CA,OpenSSL的使用文档为 https://www.openssl.org/docs/manmaster/man1/ 。 使用OpenSSL自建CA可参考 https://www.madboa.com/ge...
通过OpenSSL获取证书扩展属性之三:“颁发机构密钥标识”和"使用者密钥标识"
密码开发者
09-22 7421
介绍如何使用Openssl解析CA证书获取“颁发机构密钥标识”和“使用者密钥标识”扩展属性
nil Foundation的Placeholder证明系统(1)
mutourend2010@gmail.com
11-16 692
nil Foundation的Placeholder证明系统
[译] ConstraintLayout基础之约束constraints
学会编程
05-22 1114
ConstraintLayout 的核心基础就是创建约束约束定义了布局内两个组件之间的关系,从而控制组件的布局位置。对于刚接触 ConstraintLayout 但对 RelativeLayout 熟悉的开发者来说,约束布局的工作原理很像 RelativeLayout 中通过创建组件间关系来控制布局。
使用openssl模拟CA和CA证书的签发
GeorgeGuo
06-03 4219
当使用ssl/tls进行加密通信时,必须要有数字证书。若通信只限制在局域网内,可以不向第三方机构申请签发证书,可以通过openssl模拟CA(Certificate Authority),并通过该CA签发证书。下文讲述在Centos7.3上使用openssl工具签发证书的具体步骤。 1 生成模拟CA 1.1 修改配置文件/etc/pki/tls/openssl.cnf 打开opens...
OpenSSL中文手册之X509库详解(未完待续)
liao20081228的博客
08-19 1万+
OpenSSL之X509系列之1—引言和X509概述 【引言】 X509是系列的函数在我们开发与PKI相关的应用的时候我们都会用到,但是OpenSSL中对X509的描述并不是很多,鉴于些,我将以前工作与学习过程的经验整理出来,供大家参考,不用多走弯路,可以将精力集中在自己要处理的业务逻辑上,同时也希望更多的人参与到研究与整理信息安全的理论与技术中来,提高中国的科研与应用技术水平。提高中国
openSSL解析证书及建立安全通道通信实验
菜鸡的啄米园
10-21 1668
写在前面 实验一可根据输入证书路径做解析 实验二需要配套证书,文件夹结构如下 certs │ ├─ca │ ca.crt │ ca.csr │ ca.key │ ├─client │ client.crt │ client.csr │ client.key │ ...
通过OpenSSL解析X509证书基本
热门推荐
密码开发者
07-08 6万+
通过OpenSSL库解析X509证书基本项,比如版本号、序列号、颁发者、使用者、有效期、公钥算法、证书用途等。
使用 openssl 生成证书(含openssl详解)
我不是码农的博客~~~
06-04 2万+
一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。 官网:https://www.openssl.org/source/ 构成部分: 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立 X.509 证书证书签名请求(CSR)和CRLs(证书回收列表) 计算消息摘要 使用各种 Cipher加密/解密 SSL/TLS 客户端以及服务器
openssl 生成CSR
Jinhill's Blog
12-27 9771
openssl如何生成CSR写了一上DEMO,支持扩展属性,同时增加了通过DN字符串转X509_NAME的方法。#include #include #include #pragma comment(lib, "libeay32.lib") /* * subject is expected to be in the format /type0=value0/type1=value1/typ
bp安装CA证书
最新发布
03-21
### 如何在BP中安装CA证书 #### 安装CA证书的过程概述 为了使BP能够识别并验证通过HTTPS连接的服务器身份,需要将其对应的根证书或中间证书导入到BP的信任存储区。这一步骤确保了当BP尝试建立安全通信时,它能确认接收到的SSL/TLS证书是由可信赖的认证机构签发的。 如果BP是一个支持SSL/TLS配置的应用程序或者平台,则通常可以通过以下方式完成CA证书的安装: 1. **获取CA证书**: 需要从颁发给目标网站使用的SSL/TLS证书的同一认证机构获得相应的根证书或链证书文件[^2]。 2. **准备环境**: 确认BP运行所在的环境中已具备管理证书的能力。如果是基于Linux系统的部署场景下,可能涉及到更新`/etc/ssl/certs/ca-certificates.crt`这样的全局信任库;对于Windows系统而言,则需操作微软提供的“受信任的根证书颁发机构”存储位置。 3. **导入证书至信任库**: - 对于某些特定应用(假设这里指代的是类似于BigPanda的服务监控类工具),可以直接将下载下来的`.crt`, `.pem`格式的CA证书放置在其指定目录,并重新加载服务来生效新添加的内容; - 如果是更通用的操作系统层面设置,在Debian系发行版可通过执行如下命令实现自动合并新增加的自定义CAs进入系统默认集合:`sudo update-ca-certificates`[^1]。 4. **测试连通性**: 修改完成后应立即检验是否解决了原有的握手失败问题以及能否正常解析远程资源链接地址。 #### 使用OpenSSL分析现有证书状态 在此之前也可以利用强大的开源项目——OpenSSL来进行初步诊断工作。例如查看某个PEM编码形式下的X.509标准公钥基础设施(PKI)对象的具体属性值: ```bash openssl x509 -in example.com.crt -text -noout ``` 上述脚本会打印出关于example.com站点所关联的所有公开可见元数据字段信息,比如有效期范围、主体名称(SN)、扩展约束条件(OID)等等。 另外还有专门针对网络端口监听状况而设计的功能模块可供调用,像下面这样就可以模拟一次完整的TLS协商过程从而捕获远端返回的实际凭证副本供后续审查之用了! ```bash echo | openssl s_client -connect www.example.com:443 -showcerts 2>/dev/null | sed -ne &#39;/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p&#39; ``` 以上方法适用于任何兼容POSIX接口规范的操作系统平台上快速提取在线服务当前正在展示出来的数字身份证件样本实例。 #### 利用sslscan评估整体安全性水平 除了单纯依赖本地静态文档之外,我们还可以借助第三方开发维护的支持多线程并发处理机制的专业级漏洞探测器—sslscan进一步深入挖掘潜在风险隐患点所在之处。它可以高效地枚举出所有可用加密算法组合选项列表的同时还能检测是否存在弱化参数设定情况等问题存在可能性大小程度差异对比表单输出功能非常实用便捷好用哦😊 ```bash sslscan --xml=output.xml www.example.com ``` 这条指令将会把扫描所得全部细节记录保存成机器可读取的标准XML结构体文件形式存盘待查[^3]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值