这篇文章主要介绍PKI公钥体系中非常核心元素——数字证书的编程解析。在SSL,SET等安全协议通信时,数字证书用于通信双方进行身份认证,并且依靠数字证书和非对称加密算法加密传输数据,或者根据数字证书协商通信双方的共享密钥。所以,用户想要开发自己的应用,实现身份认证,必须对数字证书进行解析。根据解析结果,符合一定条件的终端用户,才可以接入。
1、证书格式介绍
现有的数字证书大都采用了X.509规范,主要由一下信息组成:版本号,证书序列号,有效期(证书生效时间和失效时间),用户信息(姓名、单位、组织、城市、国家等),颁发者信息,其他扩展信息,拥有者的公钥,CA对证书整体的签名,如图1所示。
图1 X.509 V3数字证书格式
OPENSSL开发包中实现了对X.509证书解析的所有操作,如获得证书的版本、公钥、拥有者信息、颁发者信息、有效期等,下面就向大家介绍如何通过编程,解析出我们需要的证书信息。
2、证书解析编程实现
2.1 数据结构介绍
X.509证书在OPENSSL中定了专门的数据结构,方便用户对其操作,其结构如下所示:
struct x509_st
{
X509_CINF *cert_info;
X509_ALGOR *sig_alg;
ASN1_BIT_STRING *signature;
int valid;
int references;
char *name;
CRYPTO_EX_DATA ex_data;
long ex_pathlen;
long ex_pcpathlen;
unsigned long ex_flags;
unsigned long ex_kusage;
unsigned long ex_xkusage;
unsigned long ex_nscert;
ASN1_OCTET_STRING *skid;
struct AUTHORITY_KEYID_st *akid;
X509_POLICY_CACHE *policy_cache;
#ifndef OPENSSL_NO_SHA
unsigned char sha1_hash[SHA_DIGEST_LENGTH];
#endif
X509_CERT_AUX *aux;
};
该结构表示了一个完整的数字证书。各项意义如下:
cert_info:证书主体信息;
sig_alg:签名算法;
signature:签名值,存放CA对该证书签名的结果;
valid:是否是合法证书,1为合法,0为未知;
references:引用次数,被引用一次则加一;
name:证书持有者信息;
ex_data:扩展数据结构,用于存放用户自定义的信息;
ex_pathlen:证书路径长度;
ex_kusage:密钥用法;
ex_xkusage:扩展密钥用法;
ex_nscert:Netscape证书类型;
skid:主体密钥标识;
akid:颁发者密钥标识;
policy_cache:各种策略缓存;
sha1_hash:存放证书的sha1摘要值;
aux:辅助信息;
其中,证书主体信息—X509_CINF结构体定义如下:
typedef struct x509_cinf_st
{
ASN1_INTEGER *version; //证书版本
ASN1_INTEGER *serialNumber; //序列号
X509_ALGOR *signature; //签名算法
X509_NAME *issuer; //颁发者
X509_VAL *validity; // 有效时间
X509_NAME *subject; // 持有者
X509_PUBKEY *key; // 公钥
ASN1_BIT_STRING *issuerUID; // 颁发者唯一标识
ASN1_BIT_STRING *subjectUID; // 持有者唯一标识
STACK_OF(X509_EXTENSION) *extensions; // 扩展项
} X509_CINF;
2.2 函数介绍
根据上述结构体可知,我们可以通过编程,读取结构体中的证书信息,下面介绍一下几个常用的函数。
(1)编码转换函数
数字证书分为DER编码和PEM编码,所以对应的操作是不一样的。对于DER编码的证书,我们可以通过函数:X.509 * d2i_X509(x509 **cert , unsigned char **d , int len),返回一个X.509的结构体指针。而对于PEM编码的证书,我没找到一个函数来实现编码转换,但可以通过OPENSSL提供的BIO函数,实现这一功能:先调用BIO_new_file() 返回一个BIO结构体,然后通过 PEM_read_bio_X509() 返回一个X.509结构体。
(2)获得证书信息
其实获得证书信息的操作,仅仅是解析X509和X509_CINF结构体的操作,可以得到如:证书版本,颁发者信息,证书拥有者信息,有效期,证书公钥等信息,主要函数如下:
X509_get_version(); //获得证书版本;
X509_get_issuer_name(); //获得证书颁发者信息
X509_get_subjiect_name(); //获得证书拥有者信息
X509_get_notBefore(); //获得证书起始日期
X509_get_notAfter(); //获得证书终止日期
X509_get_pubkey(); //获得证书公钥
其中,函数具体的参数和使用,结合下面编程代码向大家介绍。
2.3编程实现
通过上述的函数和结构体的介绍,下面编程实现解析一个数字证书就非常简单了。在此,我编写了一个解析证书的软件,实现关键代码如下:
fp=fopen(filename.GetBuffer(0),"rb");
if(fp==NULL)
{
MessageBox("读取证书错误");
return ;
}
Certlen=fread(Cert,1,4096,fp);
fclose(fp);
//判断是否为DER编码的用户证书,并转化为X509结构体
pTmp=Cert;
usrCert = d2i_X509(NULL,(const unsigned char ** )&pTmp,Certlen);
if(usrCert==NULL)
{
BIO *b;
/* 判断是否为PEM格式的数字证书 */
b=BIO_new_file(filename.GetBuffer(0),"r");
usrCert=PEM_read_bio_X509(b,NULL,NULL,NULL);
BIO_free(b);
if(usrCert==NULL)
{
MessageBox("转化格式错误!");
return;
}
}
//解析证书
X509_NAME *issuer = NULL;//X509_NAME结构体,保存证书颁发者信息
X509_NAME *subject = NULL;//X509_NAME结构体,保存证书拥有者信息
//获取证书版本
Version = X509_get_version(usrCert);
//获取证书颁发者信息,X509_NAME结构体保存了多项信息,包括国家、组织、部门、通用名、mail等。
issuer = X509_get_issuer_name(usrCert);
//获取X509_NAME条目个数
entriesNum = sk_X509_NAME_ENTRY_num(issuer->entries);
//循环读取各条目信息
for(i=0;i<entriesNum;i++)
{
//获取第I个条目值
name_entry = sk_X509_NAME_ENTRY_value(issuer->entries,i);
//获取对象ID
Nid = OBJ_obj2nid(name_entry->object);
//判断条目编码的类型
if(name_entry->value->type==V_ASN1_UTF8STRING)
//把UTF8编码数据转化成可见字符
{
nUtf8 = 2*name_entry->value->length;
pUtf8 = (unsigned short *)malloc(nUtf8);
memset(pUtf8,0,nUtf8);
rv = MultiByteToWideChar(
CP_UTF8,
0,
(char*)name_entry->value->data,
name_entry->value->length,
pUtf8,
nUtf8);
rv = WideCharToMultiByte(
CP_ACP,
0,
pUtf8,
rv,
(char*)msginfo,
nUtf8,
NULL,
NULL);
free(pUtf8);
pUtf8 = NULL;
msginfoLen = rv;
msginfo[msginfoLen]='\0';
}
else
{
msginfoLen=name_entry->value->length;
memcpy(msginfo,name_entry->value->data,msginfoLen);
msginfo[msginfoLen]='\0';
}
//根据NID打印出信息
switch(Nid)
{
case NID_countryName://国家
tmp.Format("issuer 's countryName:%s\n",msginfo);
m_list.InsertString(-1,tmp);
tmp.Empty();
break;
case NID_stateOrProvinceName://省
tmp.Format("issuer 's ProvinceName:%s\n",msginfo);
m_list.InsertString(-1,tmp);
tmp.Empty();
break;
case NID_localityName://地区
tmp.Format("issuer 's localityName:%s\n",msginfo);
m_list.InsertString(-1,tmp);
tmp.Empty();
break;
case NID_organizationName://组织
tmp.Format("issuer 's organizationName:%s\n",msginfo);
m_list.InsertString(-1,tmp);
tmp.Empty();
break;
case NID_organizationalUnitName://单位
tmp.Format("issuer 's organizationalUnitName:%s\n",msginfo);
m_list.InsertString(-1,tmp);
tmp.Empty();
break;
case NID_commonName://通用名
tmp.Format("issuer 's commonName:%s\n",msginfo);
m_list.InsertString(-1,tmp);
tmp.Empty();
break;
case NID_pkcs9_emailAddress://Mail
tmp.Format("issuer 's emailAddress:%s\n",msginfo);
m_list.InsertString(-1,tmp);
tmp.Empty();
break;
}//end switch
}
//获取证书主题信息,与前面类似,在此省略
subject = X509_get_subject_name(usrCert);
………
//获取证书生效日期
time = X509_get_notBefore(usrCert);
tmp.Format("Cert notBefore:%s\n",time->data);
m_list.InsertString(-1,tmp);
tmp.Empty();
//获取证书过期日期
time = X509_get_notAfter(usrCert);
tmp.Format("Cert notAfter:%s\n",time->data);
m_list.InsertString(-1,tmp);
tmp.Empty();
//获取证书公钥
pubKey = X509_get_pubkey(usrCert);
pTmp=derpubkey;
//把证书公钥转为DER编码的数据
derpubkeyLen=i2d_PublicKey(pubKey,&pTmp);
printf("PublicKey is: \n");
for(i = 0; i < derpubkeyLen; i++)
{
CString tmpp;
tmpp.Format("%02x", derpubkey[i]);
tmp=tmp+tmpp;
}
m_list.InsertString(-1,tmp);
//释放结构体内存
X509_free(usrCert);
使用软件解析证书效果,如下图所示:
图2 解析效果
3、结束语
通过上述介绍,相信大家对数字证书又有了更进一步的了解。在开发网络通信软件,需要加入身份认证功能时,大家可以根据解析出来的证书信息,与自己的访问策略相对比,实现访问控制。
数字证书在信息安全中处于重要地位,随着密码学的发展,数字证书的应用也会越来越广。
