如何使用php的openssl_x509_parse获取SSL证书哈希算法OID

时间:2019-02-20 06:09:18

标签: php php-openssl

我正在使用php的OpenSSL函数(openssl_x509_parse)来解析给定站点的SSL证书信息。 示例代码:

$stream = stream_context_create(
    array(
        "ssl" => array(
            "allow_self_signed" => true,
            "capture_peer_cert" => true,
            "capture_peer_cert_chain" => true,
            "verify_peer" => false,
            "verify_peer_name" => false,
            "sni_enabled" => true,
        ),
    )
);
$streamRead = @stream_socket_client("ssl://stackoverflow.com:443", $streamErrNo, $streamErrStr, 30, STREAM_CLIENT_CONNECT, $stream);
if (!$streamErrNo && $streamRead) {
    $streamContext = stream_context_get_params($streamRead);
    $streamContextMeta = stream_get_meta_data($streamRead);
    $certChainsRes = $streamContext["options"]["ssl"]["peer_certificate_chain"];
    $certChainArr = array();
    for ($i = 0; $i < count($certChainsRes); $i++) {
        $certChainData = openssl_x509_parse($certChainsRes[$i]);
        var_dump($certChainData);
    }
}

该代码运行正常,它为我提供了数据。 样本数据。

array (size=16)
  'name' => string '/C=US/ST=NY/L=New York/O=Stack Exchange, Inc./CN=*.stackexchange.com' (length=68)
  'subject' => 
    array (size=5)
      'C' => string 'US' (length=2)
      'ST' => string 'NY' (length=2)
      'L' => string 'New York' (length=8)
      'O' => string 'Stack Exchange, Inc.' (length=20)
      'CN' => string '*.stackexchange.com' (length=19)
  'hash' => string '07cc7bb0' (length=8)
  'issuer' => 
    array (size=4)
      'C' => string 'US' (length=2)
      'O' => string 'DigiCert Inc' (length=12)
      'OU' => string 'www.digicert.com' (length=16)
      'CN' => string 'DigiCert SHA2 High Assurance Server CA' (length=38)
  'version' => int 2
  'serialNumber' => string '9833040086282421696121167723365753840' (length=37)
  'serialNumberHex' => string '0765C64E74E591D68039CA2A847563F0' (length=32)
  'validFrom' => string '181005000000Z' (length=13)
  'validTo' => string '190814120000Z' (length=13)
  'validFrom_time_t' => int 1538697600
  'validTo_time_t' => int 1565784000
  'signatureTypeSN' => string 'RSA-SHA256' (length=10)
  'signatureTypeLN' => string 'sha256WithRSAEncryption' (length=23)
  'signatureTypeNID' => int 668

问题:

  • 1:我得到了诸如signatureTypeSN,signatureTypeLN,
    之类的详细信息 signatureTypeNID,但如何获取签名算法ID(哈希
    算法OID),例如sha256WithRSAEncryption => 1.2.840.113549.1.1.11

  • 2:这些详细信息显示证书的版本为2       'version' => int 2,但浏览器显示证书版本为3 ![Screenshot of SSL Certificate Details in browser] 1

P.S:代码在具有PHP7.3的Ubuntu 18.04服务器上运行。我使用的浏览器是Windows 10上的Mozilla Firefox。

1 个答案:

答案 0 :(得分:0)

1。版本

关于版本号(来自RFC:https://tools.ietf.org/html/rfc5280#section-4.1.2.1

  

4.1.2.1。版本

     

此字段描述编码证书的版本。什么时候     按照此配置文件中的预期,使用扩展名,版本必须为3     (值为2)。如果没有扩展名,但有一个UniqueIdentifier     存在,版本应为2(值为1);然而     版本可能是3。如果仅存在基本字段,则版本     应该为1(默认值从证书中省略)     值);但是,版本可能是2或3。

     

实施应准备接受任何版本证书。     至少,符合标准的实现必须识别版本3     证书。

预计不会生成版本2证书    基于此配置文件的实施。

这意味着输出中的版本2等于证书版本3。

2。 OID

关于问题的第一部分,最简单的方法是查找列表并将其实现为数组,然后进行常规替换。我在https://tools.ietf.org/html/rfc7427上找到了其中一个(搜索oid =

也在上一个RFC 7427(https://tools.ietf.org/html/rfc5280)中,您可以找到那些OID

相关问题
最新问题