5

我刚刚开始使用 X.509 证书。谁能告诉我如何在linux上验证证书?用例是我的应用程序在前一个会话中下载了一个证书,我必须在开始新会话之前检查它是否仍然有效(即,自存储以来未过期或撤销)。我知道这里不可能提供完整的示例,但任何指针都会很有用。

编辑:进一步调查揭示了另一个名为网络安全服务 (NSS) 的实用程序。在可用性方面与 OpenSSL 相比如何?此外,我正在寻找编程解决方案,因为我将无法启动命令行实用程序。

4

3 回答 3

19

正如其他人提到的,您可以使用openssl verify. 根据文档,它还检查有效期。

以编程方式,这可能意味着需要花费数小时搜索有点糟糕(或缺失)的文档,阅读整个网络上的代码示例,并且可能会让人头疼。

要正确验证证书,您需要通知所有中间证书。通常您还会通知撤销列表 (CRL),但这不是必需的。

因此,就代码(OpenSSL)而言,这是您需要做的:

  1. X509_STORE_new- 创建证书存储;
  2. X509_STORE_CTX_new- 创建商店环境;
  3. X509_STORE_add_cert- 将 CA(和所有中间人)证书添加到证书存储的受信任列表中(注意:有查找/加载列表的功能);
  4. X509_STORE_add_crl- 将撤销的证书添加到证书存储的 CRL 中(注意:同上);
  5. X509_STORE_CTX_init- 初始化您的存储上下文,通知您的证书存储;
  6. X509_STORE_CTX_set_purpose- 如果需要,定义目的;
  7. X509_STORE_CTX_set_cert- 告诉上下文您要验证哪个证书;
  8. X509_verify_cert- 最后,验证它;
  9. X509_STORE_CTX_cleanup- 如果你想重用上下文来验证另一个证书,你清理它并跳回到(5);
  10. 最后但并非最不重要的一点是,解除分配 (1) 和 (2);

或者,可以使用 进行快速验证X509_verify。但是,请注意它仅比较签名。

当我需要它时,我花了一天的时间搜索、阅读和测试。然后我发现我需要的一切都在 OpenSSL 源代码中。所以,如果你需要一个例子,直接去openssl-xxx/apps/verify.c

重要提示:切勿使用 MD5。要了解原因,请阅读创建流氓 CA 证书

于 2010-07-27T12:59:39.977 回答
3

openssl verify如果你想要一个简单的工具,会做你想做的事:

从运行:

cd /usr/share/ca-certificates
find . -type f -exec openssl -verify {} \;

这是输出的选择:

./telesec.de/deutsche-telekom-root-ca-2.crt: OK
./brasil.gov.br/brasil.gov.br.crt: OK
./cacert.org/cacert.org.crt: OK
./spi-inc.org/spi-ca-2003.crt: /C=US/ST=Indiana/L=Indianapolis/O=Software in the Public Interest/OU=hostmaster/CN=Certification Authority/emailAddress=hostmaster@spi-inc.org
error 10 at 0 depth lookup:certificate has expired
OK
./spi-inc.org/spi-cacert-2008.crt: OK
./signet.pl/signet_ocspklasa3_pem.crt: /C=PL/O=TP Internet Sp. z o.o./CN=CC Signet - CA Klasa 3/serialNumber=Numer wpisu: 4
error 2 at 1 depth lookup:unable to get issuer certificate
./signet.pl/signet_ca3_pem.crt: /C=PL/O=TP Internet Sp. z o.o./CN=CC Signet - CA Klasa 3/serialNumber=Numer wpisu: 4
error 20 at 0 depth lookup:unable to get local issuer certificate

如果您希望在更大的程序中得到结果,也许gnutls_x509_crt_verify(3), gnutls_x509_crt_get_key_usage(3),gnutls_x509_crt_check_revocation(3)接口比 OpenSSL 更容易使用。(我从未使用过 gnutls,但我使用过 OpenSSL。)

于 2010-07-20T10:09:04.307 回答
0

OCSP是一种检查证书吊销的协议。Openssl 提供证书链验证和签名验证 API。它需要一些编码。所以我建议你查看Openssl文档。

您必须通过证书链并对其进行验证,直到您获得应该已经保存在您的机器上的根证书。这是由称为根 CA(证书颁发机构)的实体颁发的自签名证书

除了 OCSP 之外,还有一种过时的方法,您必须在其中获取吊销列表,即 CRL,并解析该列表以获取证书 ID。

编辑:我忘了提到具有相同功能的 openssl 命令行实用程序。

于 2010-07-20T10:06:17.517 回答