我有X509格式的证书。这是函数中的输入参数。 我想要做的是验证证书的有效性。 怎么做到呢?
X509_verify_cert();
我找到了这个功能,但这不接受X509 *证书,它接受X509_store而我只有X509。
由于 最好的问候。
答案 0 :(得分:15)
我在这里只是发布我的答案,因为我发现了上述评论。
我没有证书链,所以在我正在做的工作中,我只有一个以编程方式生成的证书。我想检查它的有效性,所以我创建了以下函数,它在其他函数中检查证书与其自身,以验证它的有效性。
void check_certificate_validaty(X509* certificate)
{
int status;
X509_STORE_CTX *ctx;
ctx = X509_STORE_CTX_new();
X509_STORE *store = X509_STORE_new();
X509_STORE_add_cert(store, certificate);
X509_STORE_CTX_init(ctx, store, certificate, NULL);
status = X509_verify_cert(ctx);
if(status == 1)
{
printf("Certificate verified ok\n");
}else
{
printf("%s\n", X509_verify_cert_error_string(ctx->error));
}
}
希望这有助于某人:)
答案 1 :(得分:8)
请参阅文档here。
您需要使用X509_STORE_CTX_new创建证书存储区。 然后使用X509_STORE_CTX_set_chain添加证书链。使用X509_STORE_CTX_trusted_stack添加受信任的根证书。 最后使用X509_STORE_CTX_set_cert添加要验证的证书。
之后调用X509_verify_cert。
我希望这可以帮助你开始这个。
答案 2 :(得分:3)
要验证证书签名,您需要颁发者证书的公钥。此颁发者证书的签名使用另一个颁发证书(或受信任的根证书)进行验证。因此,如果证书的签名一直验证链到受信任的根,那么该证书就被认为是可信的。
使用自己的公钥验证自签名证书的签名,如下例所示:
int verify_cert(const char* pem_c_str)
{
BIO *bio_mem = BIO_new(BIO_s_mem());
BIO_puts(bio_mem, pem_c_str);
X509 * x509 = PEM_read_bio_X509(bio_mem, NULL, NULL, NULL);
EVP_PKEY *pkey=X509_get_pubkey(x509);
int r= X509_verify(x509, pkey);
EVP_PKEY_free(pkey);
BIO_free(bio_mem);
X509_free(x509);
return r;
}
来自:http://www.zedwood.com/article/openssl-c-verify-self-signed-certificate-signature