我是openssl API的新手
当我使用带有此命令的openssl APP时:
@PreMatching
@Provider
public class RequestFilter implements ContainerRequestFilter {
.....
}
形成它的输出我的兴趣是:
openssl x509 -in mycert.crt -text -noout
我想使用OpenSSL c API验证CA部分,但无法确定如何。 我已经深入研究了APP src代码,但是当我到达
时迷路了 ...
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE <-- this section I want to validate in my code
...
我的问题: 迭代扩展的正确方法是什么,找到基本约束部分并验证我的证书是否为CA:TRUE
红利问题: 你在openssl API中搜索方法的方法是什么
答案 0 :(得分:2)
红利问题:您在openssl API中搜索方法的方法是什么
可悲的是,有时候没有简单的方法。我将引导您完成我用来回答这些独特问题的步骤。
如果您知道要查找的内容,有时您可以使用符号浏览器,例如ctags。但是,我没有使用它;相反,我通常会查看来源。
如果你曾经听说过OpenSSL “自我记录”,这就是它的缩影。
我的问题:迭代扩展的正确方法是什么, 找到基本约束部分并验证我的证书是否正确 CA:TRUE
过了一会儿,你会感受到有趣的东西。从下面的grep,我知道NID_basic_constraints。
openssl-1.1.0b$ grep -iR basic * | grep constraint
crypto/objects/obj_dat.h: 0x55,0x1D,0x13, /* [ 505] OBJ_basic_constraints */
crypto/objects/obj_dat.h: {"basicConstraints", "X509v3 Basic Constraints", NID_basic_constraints, 3, &so[505]},
crypto/objects/obj_dat.h: 87, /* OBJ_basic_constraints 2 5 29 19 */
crypto/objects/obj_mac.num:basic_constraints 87
crypto/objects/objects.txt:!Cname basic-constraints
crypto/x509v3/v3_bcons.c: NID_basic_constraints, 0,
crypto/x509v3/v3_purp.c: NID_basic_constraints, /* 87 */
crypto/x509v3/v3_purp.c: /* Handle basic constraints */
crypto/x509v3/v3_purp.c: if ((bs = X509_get_ext_d2i(x, NID_basic_constraints, NULL, NULL)))
...
从上面,我知道一些事情。首先,v3_purp.c是感兴趣的文件。其次,X509_get_ext_d2i(x, ...)表示x是X509*。第三,NID_basic_constraints是感兴趣的项目。
这里是感兴趣的功能的负责人。 BASIC_CONSTRAINTS bs->ca看起来很有趣。
static void x509v3_cache_extensions(X509 *x)
{
BASIC_CONSTRAINTS *bs;
PROXY_CERT_INFO_EXTENSION *pci;
ASN1_BIT_STRING *usage;
ASN1_BIT_STRING *ns;
EXTENDED_KEY_USAGE *extusage;
X509_EXTENSION *ex;
int i;
if (x->ex_flags & EXFLAG_SET)
return;
X509_digest(x, EVP_sha1(), x->sha1_hash, NULL);
/* V1 should mean no extensions ... */
if (!X509_get_version(x))
x->ex_flags |= EXFLAG_V1;
/* Handle basic constraints */
if ((bs = X509_get_ext_d2i(x, NID_basic_constraints, NULL, NULL))) {
if (bs->ca)
x->ex_flags |= EXFLAG_CA;
if (bs->pathlen) {
if ((bs->pathlen->type == V_ASN1_NEG_INTEGER)
|| !bs->ca) {
x->ex_flags |= EXFLAG_INVALID;
x->ex_pathlen = 0;
} else
x->ex_pathlen = ASN1_INTEGER_get(bs->pathlen);
} else
x->ex_pathlen = -1;
BASIC_CONSTRAINTS_free(bs);
x->ex_flags |= EXFLAG_BCONS;
}
...
}
接下来,结帐BASIC_CONSTRAINTS。您需要_st,因为这就是OpenSSL命名其结构的方式。
$ grep -IR BASIC_CONSTRAINTS * | grep _st
include/openssl/x509v3.h:typedef struct BASIC_CONSTRAINTS_st {
快速浏览BASIC_CONSTRAINTS_st:
typedef struct BASIC_CONSTRAINTS_st {
int ca;
ASN1_INTEGER *pathlen;
} BASIC_CONSTRAINTS;
最后一个问题可能是,您如何获得X509 *x?好吧,你从那里得到:
SSL_get_peer_certificate(来自SSL连接)PEM_read_X509(从PEM编码转换)d2i_X509(从ASN.1 / DER编码转换) 如果 您已经拥有X509* x,看起来您只需要测试x->ex_flags & EXFLAG_V1。
对EXFLAG_V1和X509_st进行泡沫,冲洗,重复:
$ grep -IR EXFLAG_V1 * | grep define
crypto/x509v3/v3_purp.c:#define V1_ROOT (EXFLAG_V1|EXFLAG_SS)
include/openssl/x509v3.h:# define EXFLAG_V1 0x40
$ grep -IR X509 * | grep _st | grep typedef
crypto/x509v3/pcy_int.h:typedef struct X509_POLICY_DATA_st X509_POLICY_DATA;
include/openssl/ossl_typ.h:typedef struct x509_st X509;
include/openssl/ossl_typ.h:typedef struct X509_algor_st X509_ALGOR;
include/openssl/ossl_typ.h:typedef struct X509_crl_st X509_CRL;
...