《openssl证书操作》PPT课件.ppt

第十一章openssl证书操作 现有的数字证书大都采用x 509规范 主要有以下信息组成 版本号 整数序列号 在同一个ca是唯一的 有效期 证书生效和失效的时间 拥有者信息 姓名 单位 组织 城市 国家等 颁发者的信息 其他扩展信息 证书的扩展用法 ca自定义的扩展项等 拥有者的公钥 ca对以上信息的签名 数字证书是各类实体在网上进行信息交流及行为的身份证明 在网上事务的各个环节 参与的各方都需验证对方证书的有效性 从容解决相互间的信任问题 Openssl1实现了对x 509数字证书的所有操作 包括签发数字证书 解析和验证证书等 在实际应用开发中 针对证书应用 这里主要是用到证书的验证 验证其证书链 有效期 吊销列表以及其他限制规则等 证书的解析 获得证书的版本 公钥 拥有者的信息 颁发者信息 有效期 等操作 这些函数均定义在openssl x 509 h中 11 1函数介绍 涉及证书操作的主要函数有验证证书 验证证书链 有效期 CRL 解析证书 获得证书的版本 序列号 颁发者信息 主题信息 公钥 有效期等 11 1 1DER编码转换为内部结构体函数d2i X509 功能 把一个DER编码的证书数据转化成openssl内部结构体 x509类型 函数定义 X509 d2i X509 X509 cert unsignedchar d intlen 参数说明 Cert OUT X509结构体D in der编码的证书数据指针地址 Len in 证书数据长度 返回值 编码后的X509结构体数据 11 1 2获得证书版本函数X509 get version 函数功能 获得证书版本函数定义 defineX509 get version x ASN1 INTEGER get x cert info version 参数说明 x in X509 结构体数据类型 返回值 证书版本 数据类型 LONG 11 1 3获得证书序列号函数X509 get serailNumber 函数功能 获得证书序列号 函数定义 ASN1 INTEGER X509 get serailNumber X509 x 参数说明 x in X509 类型数据 证书 返回值 整数序列号 数据类型 ASN1 INTEGER 11 1 4获得证书颁发者信息函数X509 get issuer name 函数功能 获得证书颁发者信息 函数定义 X509 get issuer name x509 a 参数说明 a in x509 类型数据 证书 11 2 5获得证书拥有者函数x509 get subject name 函数功能 获得证书使用者 函数定义 x509 get subject name x509 a 参数说明 X in x509 类型数据 证书 返回值 证书使用者信息 数据类型 x509 name 11 2 6获得证书有效期的起始函数函数x509 get notbefore 函数功能 获得证书有效期的起始日期函数定义 definex509 get notbefore x 参数说明 x in x509 类型数据 证书 返回值 证书起始有效期 数据类型 asn1 time 11 2 7获得证书有效期的起始函数函数x509 get notafter 函数功能 获得证书有效期的终止日期函数定义 definex509 get notafter x 参数说明 x in x509 类型数据 证书 返回值 证书起始终止日期 数据类型 asn1 time 11 2 8获得证书公钥函数x509 get pubkey 函数功能 获得证书的公钥函数定义 EVP PKEY x509 get pubkey x509 x 参数说明 x in x509 类型数据 证书 返回值 证书使用者公钥 11 2 9创建和释放证书存储区函数x509 store new x509 store free 函数功能 创建和释放一个x509 store结构体 主要用于验证证书 函数定义 X509 store x508 store new void Voidx509 store free x509 store v 11 2 10向证书存储区添加证书函数x509 store add cert 函数功能 添加信任的根证书到证书存储区 函数定义 Intx509 store add cert x509 store ctx x509 x 参数说明 X in x509 类型数据 受信任的根证书Ctx in x509 store类型数据 证书存储区 返回值 操作成功返回1 否则返回0 11 2 11向证书存储区添加证书吊销列表函数x509 store add crl 函数功能 添加CRL到证书存储区 函数定义 Intx509 store add crl x509 store ctx x509 crl x 参数说明 X in x509 crl 类型数据 证书吊销列表Ctx in x509 store类型数据 证书存储区 返回值 操作成功返回1 否则返回0 11 2 12创建证书存储区上下文环境函数x509 store CTX new 函数功能 为证书存储区上下文环境申请内存 函数定义 x509 store CTX x509 store ctx new void 参数说明 返回值 操作成功返回证书存储区上下文环境指针 否则返回null 11 2 13释放证书存储区上下文环境函数x509 store CTX free 函数功能 为证书存储区上下文环境申请内存 函数定义 Voidx509 store CTX free x509 store ctx ctx Ctx in 待释放的证书存储区上下文环境 参数说明 返回值 无 11 2 14初始化证书存储区上下文环境函数x509 store CTX init 函数功能 初始化证书存储区上下文环境 设置根证书 待验证的证书 ca证书链 函数定义 Intx509 store CTX init x509 store ctx ctx x509 store store x509 x509 stack of x09 chain 参数说明 Ctx in x509 store CTX类型数据 上下文环境Store in x509 store 类型数据 根证书存储区 Chain in stack of x509 类型数据 证书链 返回值 操作成功返回1 否则返回0 11 2 15验证证书函数x509 verify cert 函数功能 验证证书 检查证书链 一次验证上级颁发者对证书的签名 一直到根证书 检查证书是否过期 以及其他策略 如果设置了CRL 还会检查该证书是否在吊销列表中 此函数必须在调用了store ctx init后才能使用 函数定义 Intx509 verify cert x509 store ctx ctx 参数说明 Ctx in x509 store CTX类型数据 上下文环境返回值 操作成功返回1 否则返回0 11 3实例应用 了解了x509证书的主要函数后 下面将通过一个实例来说明这些函数的用法 在实际应用中 常常需要验证证书的有效性 验证证书连 有效期等 获取证书有关信息 序列号 颁发者信息 拥有者信息等 流程图 读取 加载根证书 ca证书Crl 待验证的用户证书 初始化证书存储区 添加信任的根证书和crl 初始化x509 store ctx 设置信任根证书存储区Ca证书链 待验证证书 解析证书信息或其他操作 结束 开始