我使用SecKeyGeneratePair创建了一个公钥/私钥对(Elliptic Curve)。
如何使用SecKey实例在Swift中使用OpenSSL生成CSR?
答案 0 :(得分:2)
据我所知,Apple自己的安全框架没有当前暴露的API或生成CSR。它在技术上是OpenSSL包装;所以万一你有OpenSSL(我个人更喜欢LibreSSL,libtls让生活变得简单)。
作为替代方案,您也可以使用Commoncrypto,我的答案不会覆盖,但有很多例子
因此,让我们逐步了解如何执行此操作。我发现使用OpenSSL的最简单方法是完全忽略文档并直接阅读源代码。
为了达到我们的需要,我们需要复制'以下2个命令:
openssl ecparam -out server.key -name prime256v1 -genkey
openssl req -new -key server.key -out server.csr
重要提示:请务必选择安全曲线。使用openssl ecparam -list_curves获取openssl版本支持的曲线列表。 Read more
第1步生成密钥
ecparam告诉我们,我们必须首先查看sslsource / apps / openssl / ecparam.c。
来源为我们提供了3个步骤: 设置BIO进行写入,设置组参数,最后生成密钥。
第2步生成CSR
遵循相同的原则,但这次查看req.c以及apps.c中的一些代码,其中包含req.c中使用的一些样板代码
我使用这种方法来创建一个粗略但有效的概念证明,在swift中运行,你可以在github上查看:CertificateTool 代码将在任何可以编译swift4 +工具链和某些版本的openSSL的系统上运行。
修改
生成EC密钥:
//
// ECKey.swift
// CertificateToolPackageDescription
//
// Created by Antwan van Houdt on 10/01/2018.
//
import CLibreSSL
public class ECKey {
internal let secretKey: OpaquePointer
private let group: OpaquePointer
public init() {
group = EC_GROUP_new_by_curve_name(NID_X9_62_prime256v1)
EC_GROUP_set_asn1_flag(group, OPENSSL_EC_NAMED_CURVE)
EC_GROUP_set_point_conversion_form(group, POINT_CONVERSION_COMPRESSED)
secretKey = EC_KEY_new()
EC_KEY_set_group(secretKey, group)
EC_KEY_generate_key(secretKey)
}
deinit {
EC_KEY_free(secretKey)
EC_GROUP_free(group)
}
}
创建签名请求:
//
// CertificateRequest.swift
// CertificateToolPackageDescription
//
// Created by Antwan van Houdt on 10/01/2018.
//
import CLibreSSL
public enum NIDType: String {
case email = "emailAddress"
case hostName = "CN"
case organizationalUnit = "OU"
case organization = "O"
case city = "L"
case state = "ST"
case countryCode = "C"
}
public class CertificateSigningRequest {
private let request: UnsafeMutablePointer<X509_REQ>
private let key: ECKey
private let name: UnsafeMutablePointer<X509_NAME>
public init(key: ECKey, email: String, hostName: String, organizationalUnit: String, organization: String, countryCode: String, state: String, city: String) {
request = X509_REQ_new()
self.key = key
name = X509_NAME_new()
X509_REQ_set_version(request, 2)
self.add(name: email, type: .email)
self.add(name: hostName, type: .hostName)
self.add(name: organizationalUnit, type: .organizationalUnit)
self.add(name: organization, type: .organization)
self.add(name: countryCode, type: .countryCode)
self.add(name: city, type: .city)
self.add(name: state, type: .state)
X509_REQ_set_subject_name(request, name)
self.setPublicKey()
}
deinit {
X509_REQ_free(request)
X509_NAME_free(name)
}
private func add(name: String, type: NIDType) {
var buff = Array(name.utf8)
X509_NAME_add_entry_by_NID(self.name, OBJ_txt2nid(type.rawValue), MBSTRING_UTF8, &buff, Int32(buff.count), 0, 0)
}
private func setPublicKey() {
let certKey = EVP_PKEY_new()
EVP_PKEY_set1_EC_KEY(certKey, key.secretKey)
X509_REQ_set_pubkey(request, certKey)
X509_REQ_sign(request, certKey, EVP_sha256())
EVP_PKEY_free(certKey)
}
}
注意此代码不包含任何与BIO相关的函数(尚未将PEM数据写入文件或数据缓冲区),但它们很容易添加。
免责声明:我不是专业的密码学家,也不了解OpenSSL API的所有细节。我不能保证我提供的代码是100%正确的实现。始终警惕从网上下载的代码,尤其是加密代码。
答案 1 :(得分:0)
尽管这不是OpenSSL的直接实现,但我遇到了outfoxx's Shield library,这使得通过Swift创建CSR非常容易。