OpenSSL 签名验证详解:PKCS7* p7、cafile 与 RSA 验签实现

最新推荐文章于 2025-10-02 04:37:18 发布
原创 最新推荐文章于 2025-10-02 04:37:18 发布 · 1.6k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #运维

OpenSSL 签名验证详解:PKCS7* p7、cafile 与 RSA 验签实现

摘要

本文深入剖析 OpenSSL 中 PKCS7* p7 数据结构和 cafile 的作用及相互关系,详细讲解基于 OpenSSL 的 RSA 验签字符串的 C 语言实现,涵盖签名解析、证书加载、验证流程及关键要点,助力开发者掌握数字签名验证技术,确保数据完整性和来源可靠性。

一、PKCS7* p7 与 cafile 的关键作用

(一)PKCS7* p7:签名数据的核心载体

  1. 结构与内容

    • PKCS#7(Public Key Cryptography Standards #7)标准涵盖数字签名、证书、数据加密及消息认证。PKCS7* p7 是处理 PKCS#7 格式数字签名的关键数据结构,通过 d2i_PKCS7_bio() 函数将 DER 编码的 PKCS#7 数据解析为该结构体。
    • p7 包含丰富的签名信息,如签名者信息、签名算法、签名数据及证书链等。在验证签名时,PKCS7_verify() 函数利用这些信息验证签名有效性、检查证书链完整性,确保数据未被篡改。

  2. 缺失影响

    PKCS7* p7 = d2i_PKCS7_bio(signp7_mem, 0);
if (p7 == NULL) {
     
     
    // 无法获取签名信息,验证过程无法进行
}
    • 若缺失 p7,将无法读取签名数据,整个验证过程直接失败,相当于没有验证对象。

  3. 释放内存

    • 使用完毕后,需调用 PKCS7_free(p7); 释放结构体,避免内存泄漏。

(二)cafile:信任链的根基

  1. 作用与使用

    • cafile 是包含根证书或中间证书的 CA(Certificate Authority,证书颁发机构)证书文件,用于建立信任链,验证签名者证书合法性,是数字签名验证的信任锚点。
    • 在代码中,通过 X509_STORE_load_locations(store, cafile, NULL) 将 CA 证书加载到证书库。PKCS7_verify() 函数利用加载的 CA 证书验证签名者证书,检查证书链完整性,确认签名者证书由可信 CA 签发。

  2. 缺失影响

    if (!X509_STORE_load_locations(store, cafile, NULL)) {
     
     
    LOG_ERR("Load CA file %s fail\n", cafile);
    // 无法建立信任链,验证过程无法完成
    return CRYPTO_FAIL;
}
    • cafile 缺失或无效,无法验证签名者证书真实性,无法确认签名者身份,相当于有签名但无法确认其真实性,验证过程无法完成。

  3. 两者关系

    • p7 是验证对象(要验证什么),cafile 是验证依据(如何验证),二者缺一不可,只有结合才能完成完整的签名验证过程。

二、OpenSSL RSA 验签字符串的 C 语言实现

(一)完整代码

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <openssl/evp.h>
#include <openssl/pem.h>
#include <openssl/err.h>
#include <openssl/bio.h>
#include <openssl/buffer.h>

// 错误处理函数
void handle_openssl_error() {
   
   
    ERR_print_errors_fp(stderr);
    exit(EXIT_FAILURE);
}

// Base64解码函数
int base64_decode(const char *base64_data, unsigned char **decoded_data, size_t *decoded_len) {
   
   
    BIO *bio, *b64;
    int len = strlen(base64_data)
最低0.47元/天 解锁文章
PKCS#7签名介绍代码实现
new9232的博客
06-23 1586
本文章主要介绍了PKCS#7签名、PKCS#7签名数据的结构、PKCS#7 Attach 和 Deatch的区别。并通过OpenSSL,用C代码实现了PKCS#7签名,对签名数据进行了分析。
PHP实践:用openssl打造安全可靠的API签名验证系统
黑夜开发者的博客
08-04 4017
在Web开发中,API(Application Programming Interface)是不可或缺的一部分。为了确保API请求的安全性,常常需要对API请求进行签名验证。本文将介绍如何使用PHP设计一套API签名验证的程序,并提供具体的设计步骤和代码。
OpenSSL中PKCS#7格式的数字签名
宁静以致远
02-18 1万+
最近在看OpenSSL相关的资料,看了很久还是感觉有点不得其法,尤其对其python内的应用还是没多大头绪, 先把知道的整理一下出来,目前会用到的加密方法是基于PKCS7做数字签名,不知道这样的描述算不算准确 SSL(Secure Socket Layer) 是一种加密技术,可以提供对称加密和非对称加密。由于它在协议层里正好是在传输层应用层之间,这就决定了上层应用必须经过它,这就是它广泛流
记录一下本地WIN10,PHP配置OPENSSL的过程
fswy2017的博客
06-01 1733
今天在使用一个银行SDK的时候,本地开发遇到一个生成私钥失败的错误,以及一个证书的问题,主要原因是本地的环境配置问题,解决过程如下: 1.将PHP安装目录下的libeay32.dll添加到系统环境变量的PATH中 2.添加系统环境变量OPENSSL_CONF=本地openssl.cnf文件的路径 3.下载(https://curl.haxx.se/docs/caextract.html)或者...
OpenSSL证书格式:PEM、DER、PKCS7、PKCS12详解
最新发布
gitblog_00272的博客
10-02 1048
在网络安全领域,证书格式的正确选择直接影响系统兼容性和数据安全性。当你还在为不同场景下选择PEM还是DER格式而困惑?当配置服务器时面对PKCS#7和PKCS#12格式无从下手?本文将系统解析这四种主流证书格式的技术特性、应用场景及转换方法,读完你将能够:识别各类证书文件格式、掌握OpenSSL工具转换命令、解决90%的证书配置问题。 ## 一、PEM格式:最通用的文本证书 PEM(Priva...
Pkcs7Detache 数字签名
java_sso_yw的博客
08-06 768
Pkcs7Detache 数字签名
使用openssl 1.1.1版本,调试国密SM2 P7 Signdata
11-26
OpenSSL 1.1.1 新特性: 全面支持国密SM2/SM3/SM4加密算法,最近的项目涉及到国密,前期已经完成了SM2/SM4算法,近期测试了SM2 PKCS7 Signdata。代码附上。vs2017亲测通过。
PKCS7 数字信封项目源码
09-07
**PKCS7 数字信封项目源码详解** 在信息安全领域,数字信封是一种用于保护数据隐私和完整性的加密技术。PKCS7(Public-Key Cryptography Standards #7)是RSA安全公司提出的公钥密码标准之一,它定义了如何用公钥...
密码学基础(四):OpenSSL命令详解
康小曹(简书)
11-28 4120
openssl介绍 密码学标准和我们平常所见的互联网协议一样,是一种大家都遵守的约定和标准,比如PKCS#1中规定了 RSA 秘钥时怎么生成的,公私钥的格式等内容,x509标准规定了证书的格式等。 OpenSSL 本质就是一个工具集,按照主流的密码学标准实现了常用的加密算法,证书的生成、签名等功能。 因为网络上的资料比较杂,有的是一些比较老的版本,有的又不完整,所以自己稍加总...
固件签名验证机制详解:构建安全升级不可绕过的5道防线
固件签名验证的基本概念安全意义 在嵌入式系统物联网设备日益普及的背景下,固件作为设备的核心代码,其完整性真实性直接关系到系统安全。固件签名通过密码学手段为固件镜像绑定数字“身份证”,确保其...
openssl p12 证书转 p7格式
zhbpd的专栏
10-15 503
openssl pkcs12 -in pfx-0527.crt -out pfx-0527.cer -nokeys 转为pem公钥 openssl pkcs12 -in pfx-0527.crt -out pfx-0527.key -nocerts -nodes 转为priv私钥
利用openssl生成CA证书的方法及证书
12-26
利用openssl生成CA证书的方法及证书,根据文档可以自己生成证书。
windows 使用openssl生成CA文件,tomact nginx 配置https及android https的ssl认证添加
魔都大白
07-26 669
前言 该篇博文为工作总结,暂时记录的知识点有 :鄙人对https的拙见, windows 使用openssl 生成没有获取认证的证书(主要适用于平时练习)tomact 及nginx 对https的配合部分转发的配置,以及android请求后台添加ssl认证等小白知识点。本篇文章 大约需要耗时 20分钟。 1.https拙见 HTTPS相当于HTTP的安全版本,在HTTP的基础上添...
OpenSSL创建生成CA证书、服务器、客户端证书及密钥
热门推荐
^_^
11-06 2万+
使用OpenSSL创建生成CA证书、服务器、客户端证书及密钥 目录使用OpenSSL创建生成CA证书、服务器、客户端证书及密钥(一)生成CA证书(二)生成服务器证书(三)生成客户端证书 说明: 对于SSL单向认证: 服务器需要CA证书、server证书、server私钥,客户端需要CA证。 对于SSL双向认证: 服务器需要CA证书、server证书、server私钥,客户端需要CA证书,client证书、client私钥。 (一)生成CA证书 1、创建CA证书私钥 openssl gen
使用OpenSSL实现CA证书的搭建过程
weixin_34345560的博客
09-14 520
个人博客地址:http://www.pojun.tech/欢迎访问什么是CACA,Catificate Authority,通俗的理解就是一种认证机制。它的作用就是提供证书(也就是服务端证书,由域名,公司信息,序列号,签名信息等等组成)来加强客户端服务器端访问信息的安全性,同时提供证书的发放等相关工作。国内的大部分互联网公司都在国际CA机构申请了CA证书,并且在用户进行访...
openssl配置和CA架设
moonlife1986的专栏
07-19 1301
openssl配置和CA架设 Openssl Windows下编译过程1、下载openssl源代码以及相应的vc工程2、下载perl工具,如:ActivePerl-5.8.8.820-MSWin32-x86-274739.msi3、安装ActivePerl4、打开控制台程序,在o
使用OpenSSL创建CA根证书及自签名
Brant Jobs的『作坊』 ㊣
01-21 6042
系统:Ubuntu 12.04 LTS (amd64) 软件:OpenSSL 安装:$ sudo apt-get install openssl openssl.cnf路径:/etc/ssl/openssl.cnf 步骤: 1、准备!创建工作目录,并将openssl.cnf复制到工作目录中。 ~$ mkdir ~/ssl ~/ssl$ mkdir ~/ssl/demoCA
OpenSSL ca证书命令操作详解
N阶二进制的博客
11-10 2339
OpenSSL 的ca命令用于操作证书颁发机构(CA,Certificate Authority)的操作,包括发、撤销和管理证书。以下是 OpenSSL 版本 3.0 中openssl ca命令的详细使用手册。请注意,由于文本长度限制,以下内容可能不包含所有参数的详细说明。你可以使用命令在终端中获取帮助信息。
Openssl配置CA证书及https访问
weixin_30951743的博客
09-24 1561
一、创建根秘钥对 1.创建目录 cd mkdir /root/ca cd /root/ca mkdir certs crl newcerts private chmod 700 private touch index.txt echo 1000 > serialtouch openssl.cnf 2.编辑openssl配置文件openssl.cnf,将...
openssl签名验证:EVP_SignFinal详解
OpenSSL是一个广泛使用的安全协议实现库,提供了丰富的加密和签名功能。在处理数据签名验证的过程中,EVP_SignFinal是其中的一个关键函数,用于完成签名过程并输出签名值。这个函数在OpenSSL的EVp模块中定义,主要...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值