OpenSSL之X509系列Word格式.docx
《OpenSSL之X509系列Word格式.docx》由会员分享,可在线阅读,更多相关《OpenSSL之X509系列Word格式.docx(9页珍藏版)》请在冰豆网上搜索。
在一份证书中,必须证明公钥及其所有者的姓名是一致的。
对PGP证书来说,任何人都可以扮演认证者的角色。
对X.509证书来说,认证者总是CA或由CA指定的人(其实PGP证书也完全支持使用CA来确认证书的体系结构),一份X.509证书是一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥的信息。
X.509标准定义了证书中应该包含哪些信息,并描述了这些信息是如何编码的(即数据格式),所有的X.509证书包含以下数据:
(1)X.509版本号:
指出该证书使用了哪种版本的X.509标准,版本号会影响证书中的一些特定信息。
目前的版本是
3。
"
(2)证书持有人的公钥:
包括证书持有人的公钥,算法(指明密钥属于哪种密码系统)的标示符和其他相关的密钥参数。
(3)证书的序列号:
创建证书的实体(组织或个人)有责任为该证书指定一个独一无二的序列号,以区别于该实体发布的其他证书。
序列号信息有许多用途;
比如当一份证书被回收以后,它的序列号就被放入证书回收列表(CRL)之中。
(4)证书持有人唯一的标示符:
DN由许多部分组成,看起来象这样:
CN=BobAllen,OU=TotalNetworkSecurityDivision,
O=NetworkAssociates,Inc.,C=US
这些信息指出该科目的通用名,组织单位,组织和国家
(5)证书的有效期:
证书起始日期和时间以及终止日期和时间;
指明证书何时失效。
(6)证书发布者的唯一名字:
这是签发该证书的实体的唯一名字。
通常是CA。
.使用该证书意味着信任签发证书的实体。
(注意:
在某些情况下,比如根或顶级CA证书,发布者自己签发证书)
(7)发布者的数字签名:
这是使用发布者私钥生成的签名。
(8)签名算法的标示符:
指明CA签署证书所使用的算法。
X.509证书和PGP证书之间有许多不同,最明显的如下所述:
(1)用户可以创建自己的PGP证书,但是必须向CA请求才能得到一份X.509证书。
(2)X.509证书天生只支持密钥拥有者的一个名字。
(3)X.509证书只支持证明密钥合法性的一个数字签名。
要获得一份X.509证书,必须请求CA发给你证书。
用户提供自己的公钥,证明自己拥有相应的私钥,并提供有关自己的某些特定信息。
然后在这些信息上数字签名,并将整个数据包(称为证书请求)发给CA。
CA做一些努力来验证用户提供的信息是正确的,然后就生成证书并返回给用户。
【OpenSSL对X509的支持】
以下是我自己对OpenSSL的理解,可以表达上不是很准确。
(1)证书请求管理
(2)证书生成
(3)证书吊销及CRL管理
(4)X509名字管理
(5)属性管理
(6)扩展管理
(7)验证及信任管理
在随后的一些篇幅中将对以上的这几个方面进行展开说明。
OpenSSL之X509系列之2---证书请求管理
【数据结构】
证书请求用到了两个重要的数据结构:
证书请求信息结构X509_REQ_INFO与证书请求结构X509_REQ,二者的定义如下:
typedefstructX509_req_info_st{ASN1_ENCODINGenc;
ASN1_INTEGER*version;
X509_NAME*subject;
X509_PUBKEY*pubkey;
/*d=2hl=2l=0cons:
cont:
00*/
STACK_OF(X509_ATTRIBUTE)*attributes;
/*[0]*/
}X509_REQ_INFO;
其中version就是版本号、subject就是主题(常用的是dn)、pubkey是事先生成的公钥、attributes是一系列的属性,用于表达证书主题的额外信息,细节参见PKCS#10与PKCS#
9。
typedefstructX509_req_st{X509_REQ_INFO*req_info;
X509_ALGOR*sig_alg;
ASN1_BIT_STRING*signature;
intreferences;
}X509_REQ;
其中req_info就是上面所说的证书请求信息、sig_alg是签名使用的算法比如md5WithRSAEncryption、signature就是签名值了。
【基本操作函数概述】
这些基本的操作函数主要是对证书请求项进行设置与读取操作,它的的定义如下:
其中的X509_REQ*req对数指的是要操作的X509_REQ对象,下面不再赘述。
intX509_REQ_set_version(X509_REQ*x,longversion);
intX509_REQ_set_subject_name(X509_REQ*req,X509_NAME*name);
intX509_REQ_set_pubkey(X509_REQ*x,EVP_PKEY*pkey);
EVP_PKEY*X509_REQ_get_pubkey(X509_REQ*req);
X509_REQ_extract_key(a)
intX509_REQ_verify(X509_REQ*a,EVP_PKEY*r);
intX509_REQ_sign(X509_REQ*x,EVP_PKEY*pkey,constEVP_MD*md);
【X509_REQ_set_version】
设置版本号,version就是版本号。
【X509_REQ_set_subject_name】
该函数设置证书请求人的主题名,X509_NAME*name参数就是要设置的主题名。
对于名字的操作到时会有一个专题来讲。
【X509_REQ_set_pubkey】
设置公钥,EVP_PKEY*pkey参数就是生成好的公钥,可以通过RSA_generate_key()来生成。
比如:
EVP_PKEY*pNewRsaKey;
intGenerateRSAKeyPair(char*szKeyLength){if(strlen(szKeyLength)==0)return-1;
intkeylength=atoi(szKeyLength);
if((pNewRsaKey=EVP_PKEY_new())==NULL)returnCA_FAIL;
intret=EVP_PKEY_assign_RSA(pNewRsaKey,RSA_generate_key(keylength,0x10001,
NULL,//req_cb
NULL));
//cbargs
if(ret!
=1)returnCA_FAIL;
returnCA_OK;
}
【X509_REQ_get_pubkey】
读取X509_REQ中的公钥信息,返回的是一个EVP_PKEY对象,X509_REQ_extract_key()是它的一个宏定义,功能相同。
【X509_REQ_sign】
对X509_REQ中X509_REQ_INFO结构用pkey与md进行签名,并用算法标识与签名值填充X509_REQ中的sig_alg与signature域。
【X509_REQ_verify】
与签名相对应,对签名进行验证,所以将公钥pkey传入就可以了。
OpenSSL之X509系列之3---证书请求的IO函数
【输入输出函数】
这些函数有两类:
一类是将X509_REQ信息在文件或BIO抽象层上输入输出,另一类是在控制台上将X509_REQ信息进行显示。
它们的函数定义如下:
X509_REQ*d2i_X509_REQ_fp(FILE*fp,X509_REQ**req);
inti2d_X509_REQ_fp(FILE*fp,X509_REQ*req);
X509_REQ*d2i_X509_REQ_bio(BIO*bp,X509_REQ**req);
inti2d_X509_REQ_bio(BIO*bp,X509_REQ*req);
intX509_REQ_print_ex(BIO*bp,X509_REQ*x,unsignedlongnmflag,unsignedlongcflag);
intX509_REQ_print(BIO*bp,X509_REQ*req);
intX509_REQ_print_fp(FILE*fp,X509_REQ*x)
【d2i_X509_REQ_fp】
将证书请求从文件中读入并转化成X509_REQ内部结构。
【i2d_X509_REQ_fp】
将X509_REQ对象进行DER编码输出,并写入fp指定的文件中。
【d2i_X509_REQ_bio】
功能与d2i_X509_REQ_fp相同,只是读的时候从BIO抽象层上读,你可以将它与文件相关联就可以了。
【i2d_X509_REQ_bio】
功能与i2d_X509_REQ_fp相同,只是写的时候从BIO抽象层上写,你可以将它与文件或者内存BIO相关联就可以输出了。
【X509_REQ_print】
将X509_REQ在BIO上输出,但输入是可以读的,比如Subject=XXX等。
其实底层就是调用X509_REQ_print_ex来实现的。
【X509_REQ_print_ex】
这个函数与X509_REQ_print的区别是可以用标志去控制输出,nmflags用于控制显示方式,cflag用于控制哪些不显示,可以按自己的需要进行定制。
它们的定义在x
509."
h里。
具体如下:
#defineX509_FLAG_COMPAT0
#defineX509_FLAG_NO_HEADER1L
#defineX509_FLAG_NO_VERSION(1L<
<
1)
#defineX509_FLAG_NO_SERIAL(1L<
2)
#defineX509_FLAG_NO_SIGNAME(1L<
3)
#defineX509_FLAG_NO_ISSUER(1L<
4)
#defineX509_FLAG_NO_VALIDITY(1L<
5)
#defineX509_FLAG_NO_SUBJECT(1L<
6)
#defineX509_FLAG_NO_PUBKEY(1L<
7)
#defineX509_FLAG_NO_EXTENSIONS(1L<
8)
#defineX509_FLAG_NO_SIGDUMP(1L<
9)
#defineX509_FLAG_NO_AUX(1L<
10)
#defineX509_FLAG_NO_ATTRIBUTES(1L<
11)
【X509_REQ_print_fp】
其实这个函数就是将可读的结果保存在文件里,内存就是生成一个BIO对象BIO_new(BIO_s_file(),然后再将文件句柄传给他BIO_set_fp(b,fp,BIO_NOCLOSE),再调用X509_REQ_print函数进行输出。
这几个print函数,具体实现在crypto/asn1/t_req.c中。
OpenSSL之X509系列之4---证书请求的扩展项操作
【扩展项操作函数】
这些函数主要是对证书的请求的扩展项进行读取与设置操作,
intX509_REQ_extension_nid(intnid);
int*X509_REQ_get_extension_nids(void);
voidX509_REQ_set_extension_nids(int*nids);
STACK_OF(X509_EXTENSION)*X509_REQ_get_extensions(X509_REQ*req);
intX509_REQ_add_extensions_nid(X509_REQ*req,STACK_OF(X509_EXTENSION)*exts,intnid);
intX509_REQ_add_extensions(X509_REQ*req,STACK_OF(X509_EXTENSION)*exts);
【X509_REQ_extension_nid】
判断nid是否已经在内部nid_list列表中定义了。
未定义返回0,否则返回
1。
【X509_REQ_get_extension_nids】
返回已经定义的nid列表。
【X509_REQ_set_extension_nids】
设置定义好的nid列表。
【X509_REQ_get_extensions】
取出证书请求中的扩展项,过程是这样的,先从属性中将经过der编码的扩展项取出来,然后调用d2i_ASN1_SET_OF_X509_EXTENSION函数,将它转化成内部结构。
【X509_REQ_add_extensions】
将定义好,且赋了值的X509_EXTENSION扩展项加入证书请求中(其实是加到属性中,这在以后讲)。
【X509_REQ_add_extensions_nid】
功能与X509_REQ_add_extensions相同,只不过nid参数可以使用非标准的nid,其实X509_REQ_add_extensions就是通过调用这个函数是实现的,只不过使用了objects.h中定义的ExtensionRequest标准定义。
#defineNID_ext_req172
OpenSSL之X509系列之5---证书请求的其它相关操作
【相关操作函数】
X509_REQ*X509_to_X509_REQ(X509*x,EVP_PKEY*pkey,constEVP_MD*md);
X509*X509_REQ_to_X509(X509_REQ*r,intdays,EVP_PKEY*pkey);
intX509_REQ_digest(constX509_REQ*data,constEVP_MD*type,unsignedchar*md,unsignedint*len);
X509_REQ*X509_REQ_dup(X509_REQ*req);
【X509_to_X509_REQ】
用X509证书结构直接生成一个证书请求结构,其中x就是证书结构,pkey是公钥,md是散列算法,操作的过程就是将证书里的主题名与公钥填充到X509_REQ证书请求结构中,然后用指定的pkey与md进行签名,成功返回X509_REQ证书请求结构。
【X509_REQ_to_X509】
从证书请求结构直接生成一个X509证书,其中的day就是证书的有效期(多少天),pkey就是用于签名的私钥。
操作过程:
从证书请求结构取出主题,将它填充到X509的主题与签发者中,取出公钥填充到X509公钥域里,有MD5与私钥进行签名,所以这样生成证书应用是一张自签名的证书。
【X509_REQ_digest】
将X509_REQ用指定的散列算法type进行散列。
结果在md中,len是结果的长度。
【X509_REQ_dup】
复制一份X509_REQ结构。
它是宏定义,实际上是由ASN1_dup函数来完成复制工作。
升级会员 