本文共 2018 字,大约阅读时间需要 6 分钟。
生成X509数字证书前,一般先由用户提交证书申请文件,然后由CA来签发证书。
b.构造自己的证书申请文件,符合PKCS#10标准。该文件主要包括了用户信息、公钥以及一些可选的属性信息,并用自己的私钥给改内容签名
d.CA验证签名,提取用户信息,并加上其他信息,用CA的私钥签发数字证书。
X509证书申请的格式标准为pkcs#1和rfc2314
根据PKCS#10,openssl的X509数字证书申请结构定义在crypto/x509.h中,如下所示,主要由两部分组成
typedef struct X509_req_info_st
STACK_OF(X509_ATTRIBUTE) *attributes;
attributes可选的属性信息。该结构的DER编码借口在x_req.c中由宏实现,实现了new\free\i2d和d2函数
typedef struct X509_req_st
X509_REQ_INFO *req_info 信息主体
X509_ALGOR *sig_alg; 签名算法
ASN1_BIT_STRING *signature; 签名值
| |
| |
X509_REQ_add1_attr_by_NID | 添加一个属性的req属性堆栈中,nid指明了属性类型,bytes属性值 |
X509_REQ_add1_attr_by_OBJ | |
X509_REQ_add1_attr_by_txt | |
X509_REQ_add_extension_nid | 添加一个属性到req的属性堆栈中,将exts扩展项集合作为一个属性加入 |
| 调用X509_REQ_add_extension_nid |
| |
| 根据制定的摘要算法,对X509_REQ结构做摘要计算 |
| |
| 判断req_nid是否为NID_ext_req、NID_ms_ext_req或者 |
| 获取X509_REQ中属性信息,并将属性信息转换为X509_EXTENSION堆栈 |
| |
| 根据属性nid,从req的属性堆栈中查找对应属性,并返回。 |
| |
X509_REQ_get_attr_by_count | |
X509_REQ_get_extension_nids X509_REQ_set_extension_nids | |
| |
| |
| 将证书申请信息输出到BIO中,输出内容通过clag进行过滤 |
| |
| 根据证书信息,申请者私钥以及摘要素爱发生成证书请求。 |
| |
| |
| 根据X509_REQ生成一个数字证书并返回,days指明其失效期 |
| |
X509_REQ_set_subject_name | 设置证书请求的者的名称,此函数调用X509_NAME_set函数来实现 |
| 设置帧数请求信息的版本,此函数调用ASN1_INTEGERT_set函数完成 |
转载地址:http://dqwdb.baihongyu.com/