OPENSSL X509证书验证

openssl实现了标准的x509v3数字证书,其源码在crypto/x509和crypto/x509v3中。其中x509目录实现了数字证书以及证书申请相关的各种函数,包括了X509和X509_REQ结构的设置、读取、打印和比较;数字证书的验证、摘要;各种公钥的导入导出等功能。x509v3目录主要实现了数字证书扩展项相关的函数。

在进行身份认证时,首先要对发送给服务器进行认证的x509证书有效性进行验证,在Openssl中,可以用一个API接口可以实现:int X509_verify_cert(X509_STORE_CTX *ctx);
接口中形参是X509_STORE_CTX(X509证书库上下文)类型,在X509证书库上下文中,存在一个X509证书库和一个待验证的X509证书,可以加入信任的证书链,也可以加入CRL证书链(证书撤销列表)~
对X509证书有效性进行验证可以由以下几个函数来完成~

X509_STORE_CTX *ctx; //证书上下文  
X509_STORE *cert_store; //证书库,存在证书链  
X509* x509; //待验证X509证书  
ctx = X509_STORE_CTX_new();  X509_STORE_CTX_init(ctx,cert_store,x509,NULL);  X509_verify_cert(ctx);//根据返回值可以确认X509证书是否有效,也可以根据X509_STORE_CTX_get_error和X509_verify_cert_error_string函数来确认无效原因

示例程序如下:

#include <stdio.h>
#include <string.h>
#include <stdlib.h>#include <openssl/evp.h>
#include <openssl/x509.h>#define CERT_PATH       "/home/dengaj/Desktop/openssl"
#define ROOT_CERT       "RootCert.crt"
#define CARD_CERT       "CardCert.crt"
#define GET_DEFAULT_CA_CERT(str) sprintf(str, "%s/%s", CERT_PATH, ROOT_CERT)
#define GET_CUSTOM_CERT(str, path, name) sprintf(str, "%s/%s", path, name)#define MAX_LEGTH 4096int my_load_cert(unsigned char *str, unsigned long *str_len,const char *verify_cert, const unsigned int cert_len)
{FILE *fp;fp = fopen(verify_cert, "rb");if ( NULL == fp){fprintf(stderr, "fopen fail\n");return -1;}*str_len = fread(str, 1, cert_len, fp);fclose(fp);return 0;
}X509 *der_to_x509(const unsigned char *der_str, unsigned int der_str_len)
{X509 *x509;x509 = d2i_X509(NULL, &der_str, der_str_len);if ( NULL == x509 ){fprintf(stderr, "d2i_X509 fail\n");return NULL;}return x509;
}
int x509_verify()
{int ret;char cert[MAX_LEGTH];unsigned char user_der[MAX_LEGTH];unsigned long user_der_len;X509 *user = NULL;unsigned char ca_der[MAX_LEGTH];unsigned long ca_der_len;X509 *ca = NULL;X509_STORE *ca_store = NULL;X509_STORE_CTX *ctx = NULL;STACK_OF(X509) *ca_stack = NULL;/* x509初始化 */ca_store = X509_STORE_new();ctx = X509_STORE_CTX_new();/* root ca*/GET_DEFAULT_CA_CERT(cert);/* 从文件中读取 */my_load_cert(ca_der, &ca_der_len, cert, MAX_LEGTH);/* DER编码转X509结构 */ca = der_to_x509(ca_der, ca_der_len);/* 加入证书存储区 */ret = X509_STORE_add_cert(ca_store, ca);if ( ret != 1 ){fprintf(stderr, "X509_STORE_add_cert fail, ret = %d\n", ret);goto EXIT;}/* 需要校验的证书 */GET_CUSTOM_CERT(cert, CERT_PATH, CARD_CERT);my_load_cert(user_der, &user_der_len, cert, MAX_LEGTH);user = der_to_x509(user_der, user_der_len);ret = X509_STORE_CTX_init(ctx, ca_store, user, ca_stack);if ( ret != 1 ){fprintf(stderr, "X509_STORE_CTX_init fail, ret = %d\n", ret);goto EXIT;}//openssl-1.0.1c/crypto/x509/x509_vfy.hret = X509_verify_cert(ctx);if ( ret != 1 ){fprintf(stderr, "X509_verify_cert fail, ret = %d, error id = %d, %s\n",ret, ctx->error, X509_verify_cert_error_string(ctx->error));goto EXIT;}fprintf(stdout, "X509_verify_cert successful\n");
EXIT:X509_free(user);X509_free(ca);X509_STORE_CTX_cleanup(ctx);X509_STORE_CTX_free(ctx);X509_STORE_free(ca_store);return ret == 1 ? 0 : -1;
}int main()
{OpenSSL_add_all_algorithms();x509_verify();return 0;
}

 

第二种方法使用

int X509_verify(X509 * x509, EVP_PKEY * pkey);
  X509 * root;X509 * mycert;//Get root certificate into root
//Get mycert into mycert.//Get the public key.
EVP_PKEY * pubkey = X509_get_pubkey(root);//verify. result less than or 0 means not verified or some error.
int result = X509_verify(mycert, pubkey);//free the public key.
EVP_PKEY_free(pubkey);

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/384935.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

linux网络编程九:splice函数,高效的零拷贝

linux网络编程九:splice函数,高效的零拷贝

1. splice函数 #include <fcntl.h> ssize_t splice(int fd_in, loff_t *off_in, int fd_out, loff_t *off_out, size_t len, unsigned int flags); splice用于在两个文件描述符之间移动数据&#xff0c; 也是零拷贝。 fd_in参数是待输入描述符。如果它是一个管道文件…
阅读更多...
sys/queue.h

sys/queue.h

概述 sys/queue.h是LINUX/UNIX系统下面的一个标准头文件&#xff0c;用一系列的数据结构定义了一队列。包括singly-lined list, list, simple queue(Singly-linked Tail queue), tail queue, circle queue五种。 引用此头文件对这五种数据结构的描述&#xff1a; A singly-lin…
阅读更多...
sys/queue.h分析(图片复制不过来,查看原文)

sys/queue.h分析(图片复制不过来,查看原文)

这两天有兴趣学习使用了下系统头文件sys/queue.h中的链表/队列的实现&#xff0c;感觉实现的很是优美&#xff0c;关键是以后再也不需要自己实现这些基本的数据结构了&#xff0c;哈哈&#xff01; 我的系统环境是 正好需要使用队列&#xff0c;那么本篇就以其中的尾队列&…
阅读更多...
线程池原理及C语言实现线程池

线程池原理及C语言实现线程池

备注&#xff1a;该线程池源码参考自传直播客培训视频配套资料&#xff1b; 源码&#xff1a;https://pan.baidu.com/s/1zWuoE3q0KT5TUjmPKTb1lw 密码&#xff1a;pp42 引言&#xff1a;线程池是一种多线程处理形式&#xff0c;大多用于高并发服务器上&#xff0c;它能合理有效…
阅读更多...
iptables 的mangle表

iptables 的mangle表

mangle表的主要功能是根据规则修改数据包的一些标志位&#xff0c;以便其他规则或程序可以利用这种标志对数据包进行过滤或策略路由。 内网的客户机通过Linux主机连入Internet&#xff0c;而Linux主机与Internet连接时有两条线路&#xff0c;它们的网关如图所示。现要求对内网进…
阅读更多...
Linux常用命令(一)

Linux常用命令(一)

history 查看历史命令 ctrlp 向上翻历史纪录 ctrln 向下翻历史纪录 ctrlb 光标向左移动 ctrlf 光标向右移动 ctrla 光标移动到行首 ctrle 光标移动到行尾 ctrlh 删除光标前一个 ctrld 删除光标后一个 ctrlu 删除光标前所有 ctrlL clear命令 清屏 tab键可以补全命令/填充路径…
阅读更多...
ip route / ip rule /iptables 配置策略路由

ip route / ip rule /iptables 配置策略路由

Linux 使用 ip route , ip rule , iptables 配置策略路由 要求192.168.0.100以内的使用 10.0.0.1 网关上网&#xff0c;其他IP使用 20.0.0.1 上网。 首先要在网关服务器上添加一个默认路由&#xff0c;当然这个指向是绝大多数的IP的出口网关。 ip route add default gw 20.0.0.…
阅读更多...
iptables:tproxy做透明代理

iptables:tproxy做透明代理

什么是透明代理 客户端向真实服务器发起连接&#xff0c;代理机冒充服务器与客户端建立连接&#xff0c;并以客户端ip与真实服务器建立连接进行代理转发。因此对于客户端与服务器来说&#xff0c;代理机都是透明的。 如何建立透明代理 本地socket捕获数据包 nat方式 iptables…
阅读更多...
编译参数(-D)

编译参数(-D)

程序中可以使用#ifdef来控制输出信息 #include<stdio.h> #define DEBUGint main() {int a 10;int b 20;int sum a b; #ifdef DEBUGprintf("%d %d %d\n",a,b,sum); #endifreturn 0; } 这样在有宏定义DEBGU的时候就会有信息输出 如果注销掉宏定义就不会有输…
阅读更多...
libpcap讲解与API接口函数讲解

libpcap讲解与API接口函数讲解

ibpcap&#xff08;Packet Capture Library&#xff09;&#xff0c;即数据包捕获函数库&#xff0c;是Unix/Linux平台下的网络数据包捕获函数库。它是一个独立于系统的用户层包捕获的API接口&#xff0c;为底层网络监测提供了一个可移植的框架。 一、libpcap工作原理 libpcap…
阅读更多...
Linux常用命令(三)

Linux常用命令(三)

man 查看帮助文档 alias ls : 查看命令是否被封装 echo &#xff1a; 显示字符串到屏幕终端 echo $PATH : 将环境变量打印出来 poweroff&#xff1a;关机 rebot&#xff1a;重启 需要管理员权限 vim是从vi发展过来的文本编辑器 命令模式&#xff1a;打开文件之后默认进入命令模…
阅读更多...
浅谈iptables防SYN Flood攻击和CC攻击

浅谈iptables防SYN Flood攻击和CC攻击

何为syn flood攻击&#xff1a; SYN Flood是一种广为人知的DoS&#xff08;拒绝服务攻击&#xff09;是DDoS&#xff08;分布式拒绝服务攻击&#xff09;的方式之一&#xff0c;这是一种利用TCP协议缺陷&#xff0c;发送大量伪造的TCP连接请求&#xff0c;从而使得被攻击方资源…
阅读更多...
Linux之静态库

Linux之静态库

命名规则&#xff1a; lib 库的名字 .a 制作步骤 生成对应.o文件 .c .o 将生成的.o文件打包 ar rcs 静态库的名字&#xff08;libMytest.a&#xff09; 生成的所有的.o 发布和使用静态库&#xff1a; 1&#xff09; 发布静态 2&#xff09; 头文件 文件如下图所示&…
阅读更多...
iptables详解和练习

iptables详解和练习

防火墙&#xff0c;其实说白了讲&#xff0c;就是用于实现Linux下访问控制的功能的&#xff0c;它分为硬件的或者软件的防火墙两种。无论是在哪个网络中&#xff0c;防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作&#xff0c;这就是防火墙…
阅读更多...
Linux之动态库

Linux之动态库

命令规则 lib 名字 .so 制作步骤 1&#xff09;生成与位置无关的代码&#xff08;生成与位置无关的代码&#xff09; 2&#xff09;将.o打包成共享库&#xff08;动态库&#xff09; 发布和使用共享库 动态库运行原理&#xff1a; 生成动态库&#xff1a; gcc -fPIC -c *.c -…
阅读更多...
linux下源码安装vsftpd-3.0.2

linux下源码安装vsftpd-3.0.2

1&#xff09;在http://vsftpd.beasts.org/网站中查找并下载 vsftpd-3.0.2.tar.gz源码包 2)如果自己的机器上安装有yum可以用yum grouplist | less指令查看以下开发环境&#xff0c;当然这一步不做也行 3&#xff09;拆解源码包 4&#xff09;查看源码包 5&#xff09;编辑…
阅读更多...
Linux之GDB调试命令

Linux之GDB调试命令

gdb启动 gdb 程序名 l 查看源代码&#xff08;默认显示十行&#xff09; l 文件名&#xff1a;行数 l 文件名&#xff1a;函数名 添加断点 break 行数 &#xff08;b 也行&#xff09; b 15 if i 15 条件断点 i b 查看断点信息 start 程序执行一步 n 单步调试 s 单步&#xf…
阅读更多...
Gdb 调试core文件详解

Gdb 调试core文件详解

一&#xff0c;什么是coredump 我们经常听到大家说到程序core掉了&#xff0c;需要定位解决&#xff0c;这里说的大部分是指对应程序由于各种异常或者bug导致在运行过程中异常退出或者中止&#xff0c;并且在满足一定条件下&#xff08;这里为什么说需要满足一定的条件呢&#…
阅读更多...
Linux之GDB命令(二)

Linux之GDB命令(二)

gdb命令&#xff1a; 前提条件&#xff1a;可执行文件必须包含调试信息 gcc -ggdb 文件名 –启动gdb调试查看代码命令 当前文件&#xff1a; list 行号&#xff08;函数名&#xff09; 指定文件&#xff1a; list 文件名&#xff1a;行号&#xff08;函数名&#x…
阅读更多...
Windows下编译openssl库

Windows下编译openssl库

1、概述 OpenSSL是一个开放源代码的软件库包&#xff0c;它实现了 SSL&#xff08;Secure SocketLayer&#xff09;和 TLS&#xff08;Transport Layer Security&#xff09;协议&#xff0c;所以应用程序可以使用这个包来进行安全通信&#xff0c;避免窃听&#xff0c;同时确…
阅读更多...
最新文章

Copyright @ 2022~2023