证书链验证(国密)

最新推荐文章于 2025-10-14 08:15:00 发布
原创 最新推荐文章于 2025-10-14 08:15:00 发布 · 2.7k 阅读 · 37 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#密码学 #笔记 #学习

本文详细描述了如何通过Snooper工具和ASN1解析来验证SM2证书链,涉及获取上级证书公钥、解析下级证书数据、提取签名值并使用指定方法进行验证,最终结果显示验证通过。

证书链验证

材料:

工具:

Snooper;ASN1;notepad++

已知证书链签发过程中,为上级证书对下级证书进行签名,故通过验证上级证书对下级证书的签名,验证证书链是否完整;

前置条件:上级证书对下级证书签名原文对【基本证书域】,如不理解可参考教材(商用密码应用与安全性评估)

验证SM2签名需要数据:

  1. 签名原文;签名值;公钥(上级)
  2. 签名hash;签名值;公钥(上级)

步骤1:选取方法(1)进行验证,获取上级证书,也就是2级证书的公钥

数据:

04

efa4b6c12db09f355ab28d84869029f402eb256901b1c064a6e9cc101bf0240c169d61bd4b069e7d7aa78e3d440626724989d497864746c5b15c281c2f074b9f

其中04为标志位,不参与验签计算

长度为64个字节,符合SM2公钥长度

步骤2:使用工具ASN1解析下级证书数据,本次验证选取3级加密证书

根据教材可知,上级证书对下级证书的证书基本域进行签名,获取证书基本域数据

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

可知上述数据为签名原文

步骤3:获取签名值

使用note工具解析,拆分

已知SM2签名值通过标志为0220和022100拆分R和S

075eb4c4cc64db5fc8fe71bbefc21078834b77e05d241aadcd9e3d9ff8982bb0cdace214639818124b1482d610be75e4ed46a74cd89a45c5e92b2686ed7f85be

步骤4:使用工具Snooper验证

结果为00,表示通过。

TongWeb8是否支持国密证书链完整校验?
**My Coding Family**
07-07 804
🏆本文收录于 《全栈Bug调优(实战版)》 专栏,该专栏专注于分享我在真实项目开发中遇到的各类疑难Bug及其深层成因,并系统提供高效、可复现的解决思路和实操方案。无论你是刚入行的新手开发者,还是拥有多年项目经验的资深工程师,本专栏都将为你提供一条系统化、高质量的问题排查与优化路径,助力你加速成长,攻克技术壁垒,迈向技术价值最大化与职业发展的更高峰🚀!    📌 特别说明: 文中部分技术问题来源于真实生产环境及网络公开案例,均经过精挑细选与系统化整理,并结合多位一线资深架构师和工程师多年实战经验沉淀,提
[SPDM]SPDM 证书链验证过程详解
元直的博客
06-12 1456
摘要:SPDM协议中的证书链验证是确认设备身份合法性的关键环节。该过程包括设备发送包含根证书、中间证书和设备证书的完整证书链,客户端逐级验证证书签名和有效期,并通过挑战响应机制验证设备私钥的持有性。整个流程采用逐级签名验证、随机数挑战和可信根证书检查等机制,确保防篡改和防中间人攻击。在国密算法环境下,可结合SM2签名验证和SM3哈希算法实现安全验证。该验证机制有效保障了通信设备身份的真实性和数据传输的安全性。
验证证书链验证证书链
01-22
验证证书链 检查证书是不是在证书链内的证书下发的。
HTTPS安全通讯 4. Keytool工具使用
猿来这样-谢厂节的博客
07-30 827
HTTPS安全通讯 4. Keytool工具使用一、简介二、Java证书工具Keytool的使用2.1 生成自签名证书`.jks`2.2 导出自签名证书2.2 查看证书信息2.3 显示证书内容2.4 导出`cer`证书2.5 导出公钥三、生成一个根证书来签发二级证书3.1 生成证书签名请求文件`CSR`3.2 使用自签名证书作为`CA`根证书,模拟`CA`给`CSR`签发证书生成模拟CA的密钥对3.3 将二级证书导回teststore库中3.4 从teststore导出rootca证书四、Keytool其它
密码学实战】openHiTLS verify命令行:证书有效性验证工具
最新发布
开源代码仓:https://gitcode.com/openHiTLS/openhitls
10-14 1055
hitls verify是openHiTLS套件中的X.509证书链验证工具,支持PEM格式证书验证,核心功能包括自动构建证书链、信任锚校验、密钥用法检查及有效期验证。该工具通过--CAfile指定信任锚证书文件,可结合--verbose输出详细验证日志,--nokeyusage跳过密钥用法检查。适用于HTTPS服务部署、物联网设备认证等场景,支持批量验证和错误代码定位。常见问题包括证书格式错误、时间不同步等,建议集成到CI/CD流程实现自动化验证
商用密码数字证书合格检测工具
baikeley74的博客
08-06 5100
SM2数字证书,充分借鉴与吸收了X509数字证书的格式与优点,在考虑RSA算法的优缺点之后,推出的基于商密公钥算法的SM2证书规范,至此,商密算法的数字证书在商用密码应用安全性评估中成为了必须要检测的一个重要环节。 身份认证中数字证书的使用的正确、有效、合规;在密码产品如VPN中数字证书的使用是否正确、有效与合规;在WEB站点中提供HTTPS服务的数字证书的使用是否正确、有效与合规。都可以通过该工具进行合规性检测。...
p7b证书链验证工具-结合SM2证书验证工具用于验证SM2 p7b证书链的真实性
12-11
p7b证书链验证工具-结合SM2证书验证工具用于验证SM2 p7b证书链的真实性 0.306版本:解决了Win10系统下程序与证书链不同盘会闪退的问题 程序属性:需要安装OpenssL64环境 0.309:可验证二进制p7b链、PEM格式p7b链、分体PEM-CERTIFICATE格式p7b链
iOS 中对 HTTPS 证书链验证
weixin_33816821的博客
09-22 722
这篇文章是我一边学习证书验证一边记录的内容,稍微整理了下,共扯了三部分内容: HTTPS 简要原理; 数字证书的内容、生成及验证; iOS 上对证书链验证。 HTTPS 概要 HTTPS 是运行在 TLS/SSL 之上的 HTTP,与普通的 HTTP 相比,在数据传输的安全性上有很大的提升。要了解它安全性的巧妙之处,需要先简单地了解对称加密和非对称加密的区别: ...
RSA证书链验证
一个认真摸鱼的商用密码从业人员
03-20 2662
到这一步基本可以说明,证书链验证通过了,如果觉得不太能确认的话,可以通过对三级证书签名原文hash,验证是否同上述哈希值一致,一致则证明验证通过。因为上图中,可以看到证书使用的签名算法为SHA256,故数据后32字节为哈希值。使用工具解析三级证书,在签名值域中截取上级证书的签名值。使用SHA256算法对签名原文计算哈希,检查是否一致。获取上级证书公钥,使用工具解析二级证书。对比一致,证书链验证通过。
精选资源
国密数字证书验证-SM2、SM3、SM4
11-22
2. 验证证书链:逐级向上验证所有中间证书直至根证书,确保每个证书都由上一级的CA签名,并且证书没有过期。 3. 验证证书主体:核对证书中的主体信息(如域名、组织名等)是否与预期通信方相符。 4. 验证证书吊销...
使用国密算法数字证书的验证签名
01-22
4. **证书链的构建**:在实际应用中,还需要检查`ca.pem`证书是否由可信的根证书颁发,这通常涉及到证书链的建立,从终端证书到根证书,每一步都需要验证签名。 这个过程展示了国密算法在数字证书签名验证中的应用...
java 国密算法实现包含SM2 SM3 SM4和数字签名、数字证书的验证
05-05
java 国密算法实现,包含SM2 SM3 SM4和数字签名、数字证书的验证以及相应的说明文档
SM2国密证书合法性验证
weixin_34186128的博客
11-14 1035
  通常我们遇到过的X509证书都是基于RSA-SHA1算法的,目前国家在大力推行国密算法,未来银行发行的IC卡也都是基于PBOC3.0支持国密算法的,因此我们来学习一下如何验证SM2国密证书的合法性。至于SM2与SM3的算法实现不在本文讨论范围之内,可以用openssl、BouncyCastle.Crypto.dll等第三方库来实现。   SM2国密证书与RSA证书一样,一般内容都是以BASE...
证书链-证书校验
大力海棠的博客
02-03 9236
先来打开一个网站的证书链看看: 它的结构是,顶端根证书DigiCert,中间证书GeoTrust RSA CA 2018,和最下级的服务器证书*.youkuaiyun.com。为什么会有中间证书?原因上一篇日志说过,由于权威的CA机构数量不多,如果所有的服务器申请证书都将CSR证书请求文件发送到CA机构,那么CA机构的工作量就会非常大,因此CA机构采取授权二级机构的方式来管理证书申请,经授权的二级机构也...
一文详解 HTTPS 与 TLS证书链校验
赶路人儿
11-07 1万+
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议,是一种通过计算机网络进行安全通信的传输协议。HTTPS利用SSL/TLS来加密数据包,经由HTTP进行通信。其设计的主要目的是,提供对网站服务器的身份认证、保护交换数据的隐私与完整性。SSL/TLS握手协商:用非对称加密的手段传递密钥,然后用密钥进行对称加密传递数据。
ssl证书链验证的其它方式
TCP/IP
04-01 7908
<!--v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}--> Normal 0 7.8 磅 0 2
ec java sm2证书_SM2国密证书合法性验证
weixin_39637059的博客
12-24 958
通常我们遇到过的X509证书都是基于RSA-SHA1算法的,目前国家在大力推行国密算法,未来银行发行的IC卡也都是基于PBOC3.0支持国密算法的,因此我们来学习一下如何验证SM2国密证书的合法性。至于SM2与SM3的算法实现不在本文讨论范围之内,可以用openssl、BouncyCastle.Crypto.dll等第三方库来实现。SM2国密证书与RSA证书一样,一般内容都是以BASE64格式编码...
国密SM2证书的有效性验证
热门推荐
liyong314159265的专栏
01-09 1万+
通常的X509证书是国际通用的RSA证书,现在国家推出了自己的加密算法,SM2算法,本文根据自己工作中遇到的情况,试图讲一下国密SM证书的有效性验证。 证书在本地存储一般是DER(二进制)格式的,网络传输则是base64格式,需要解码。           可以用Asn1View工具查看二进制文件的十六进制格式,查看证书可以看到 SM2证书是TLV格式的,分为三大模块,第一模块是证书的实际
密信浏览器添加信任根、国密Key双向认证(测试)
Oh~Why not!
03-17 3278
密信浏览器 信任根 国密Key双向认证
密码工具箱证书验证
06-25
<think>我们正在讨论密码工具箱中的证书验证问题。根据引用内容,证书验证涉及多个步骤,包括验证证书链、根证书信任、检查CRL等。用户询问如何在密码工具箱中验证证书,我们将结合引用内容给出系统级解决方案。首先,引用[1]详细解释了根证书验证过程:普通证书包含用户信息、公钥和CA签名,验证需要回溯证书链直到根证书(自签名证书)。根证书必须预先安装在受信任列表中。引用[2]展示了Java验证JKS证书密码的代码示例,通过加载密钥库并尝试访问来验证密码正确性。引用[3]提到无证书公钥密码(CL-PKC)的研究,但用户问题聚焦于传统证书验证,因此我们暂不深入此方向。引用[4]强调必须检查证书撤销状态(CRL),避免使用已撤销证书。综合这些引用,密码工具箱中的证书验证应包含:1.构建证书链验证签名链2.确保根证书受信任3.检查证书有效期4.查询CRL确认未撤销5.验证证书持有者身份(如适用)具体实现步骤:1.加载根证书到信任库2.加载待验证证书3.构建从该证书到根证书的完整链4.逐级验证签名(使用上级证书公钥验证当前证书签名)5.检查每级证书有效期6.连接CRL服务器检查撤销状态7.验证证书主体信息与预期一致对于密码工具箱的具体操作:-若工具箱提供GUI,通常有"验证证书"功能,自动完成上述流程-命令行工具可能需要分步执行(如OpenSSL的`verify`命令)代码级实现参考(Java示例):```java//加载信任库(含根证书)KeyStoretrustStore=KeyStore.getInstance("JKS");trustStore.load(newFileInputStream("truststore.jks"),"truststore_pass".toCharArray());//加载待验证证书CertificateFactorycf=CertificateFactory.getInstance("X.509");CertificatetargetCert=cf.generateCertificate(newFileInputStream("target.cer"));//创建验证路径PKIXParametersparams=newPKIXParameters(trustStore);params.setRevocationEnabled(true);//启用CRL检查CertPathcertPath=cf.generateCertPath(Collections.singletonList(targetCert));CertPathValidatorvalidator=CertPathValidator.getInstance("PKIX");validator.validate(certPath,params);//抛出异常表示验证失败```注意事项:-必须正确配置CRL分发点(CDP)或使用OCSP在线检查-时间有效性需考虑时钟同步问题-根证书更新机制至关重要相关问题:1.如何解决证书链验证中的"信任锚未找到"错误?2.证书撤销检查有哪些替代方案(如OCSP)?3.自签名证书在密码工具箱中如何特殊处理?</think>### 密码工具箱中的证书验证方法 在密码工具箱中验证证书需要遵循完整的证书信任链验证流程,核心步骤如下(结合引用内容): #### **1. 根证书准备** - **引用[1]说明**:根证书是信任链的终点,需预先导入工具箱的信任存储区 - 操作示例: ```bash # 导入根证书到工具箱的信任库 crypto-tool import-certificate root-ca.crt --trusted ``` #### **2. 构建证书链** - **验证原理(引用[1])**: ```mermaid graph LR A[待验证证书] --> B[验证签发者签名] B --> C[中级CA证书] C --> D[根证书自验证] ``` - 工具箱命令: ```bash # 验证证书链完整性 crypto-tool verify-chain target.crt -ca-files intermediate.crt root.crt ``` #### **3. 有效期与撤销检查** - **关键步骤(引用[4])**: - 检查证书有效期:`crypto-tool check-validity target.crt` - 查询CRL(证书撤销列表): ```bash crypto-tool check-revocation target.crt --crl http://ca.example.com/revocation.crl ``` - OCSP在线验证(替代CRL): ```bash crypto-tool ocsp-query target.crt --responder ocsp.example.com ``` #### **4. 密钥与密码验证** - **引用[2]示例适配**:验证证书库密码(如JKS格式) ```java // 密码工具箱的Java API示例 KeyStore keystore = KeyStore.getInstance("PKCS12"); try (InputStream is = new FileInputStream("cert.p12")) { keystore.load(is, "password".toCharArray()); // 密码正确时加载成功 System.out.println("证书密码验证成功"); } catch (IOException e) { System.out.println("密码错误或证书损坏"); } ``` #### **5. 特殊证书类型处理** - **无证书密码体系(引用[3])**: ```bash # SM2国密证书验证需启用特殊参数 crypto-tool verify-cert target.cer --algo SM2 --curve sm2p256v1 ``` #### **完整验证流程** 1. 加载根证书到信任存储区 2. 构建证书链验证签名链 3. 检查有效期和时间戳 4. 查询CRL/OCSP确认未撤销 5. 验证证书与私钥的匹配性 6. 检查扩展域关键约束(如密钥用法) > **注意**:密码工具箱通常提供`verify-cert`集成命令,但需确保: > - 系统时钟准确(影响有效期检查) > - 网络通畅(OCSP/CRL在线验证) > - 信任库包含合法根证书[^1]
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值