我有 X509 格式的证书。这是函数中的输入参数。我想做的是验证证书的有效性。如何做呢?
X509_verify_cert();
我找到了这个函数,但是它不接受 X509* 证书,它接受 X509_store 而我只有一个 X509。
谢谢最好的问候。
问问题
16805 次
3 回答
18
我在这里只是为了发布我的答案,因为我在上面的评论中找到了答案。
我没有证书链,所以在我正在做的工作中,我只有一个由我以编程方式生成的证书。我想检查它的有效性,所以我创建了以下函数,它检查证书本身以验证它的有效性。
void check_certificate_validaty(X509* certificate)
{
int status;
X509_STORE_CTX *ctx;
ctx = X509_STORE_CTX_new();
X509_STORE *store = X509_STORE_new();
X509_STORE_add_cert(store, certificate);
X509_STORE_CTX_init(ctx, store, certificate, NULL);
status = X509_verify_cert(ctx);
if(status == 1)
{
printf("Certificate verified ok\n");
}else
{
printf("%s\n", X509_verify_cert_error_string(ctx->error));
}
}
希望这可以帮助某人:)
于 2013-04-07T13:10:34.960 回答
9
请参阅此处的文档。
您需要使用 X509_STORE_CTX_new 创建证书存储。然后使用 X509_STORE_CTX_set_chain 添加证书链。使用 X509_STORE_CTX_trusted_stack 添加受信任的根证书。最后使用 X509_STORE_CTX_set_cert 添加要验证的证书。
之后调用 X509_verify_cert。
我希望这将帮助您开始。
于 2013-04-05T15:44:05.233 回答
5
要验证证书签名,您需要颁发者证书的公钥。此颁发者证书的签名已使用另一个颁发者证书(或受信任的根证书)进行验证。因此,如果证书的签名在链上一直验证到受信任的根,则该证书被认为是受信任的。
自签名证书的签名使用自己的公钥进行验证,如下例所示:
int verify_cert(const char* pem_c_str)
{
BIO *bio_mem = BIO_new(BIO_s_mem());
BIO_puts(bio_mem, pem_c_str);
X509 * x509 = PEM_read_bio_X509(bio_mem, NULL, NULL, NULL);
EVP_PKEY *pkey=X509_get_pubkey(x509);
int r= X509_verify(x509, pkey);
EVP_PKEY_free(pkey);
BIO_free(bio_mem);
X509_free(x509);
return r;
}
来自:http ://www.zedwood.com/article/openssl-c-verify-self-signed-certificate-signature
于 2014-10-28T20:16:45.467 回答