x.509證書校驗
這裡討論openssl
中如何應用
crls
和來自證書體系的其他證書來進行證書校驗。為此需要使用
x.509
包的功能函式。
ssl協議實現已經處理了很多這裡將要討論的東西,即使如此,一些工作還是需要我們親歷親為,特別是當我們希望在證書校驗過程中使用
crls
的校驗,大部分情況我們確實應該如此。
通常講,證書可以通過其他證書體系一系列的證書來驗證是合法的,比如ca
證書和crls
。openssl
使用x509_store
物件來表示證書和廢止證書的集合來完成此校驗目的。除此之外,
openssl
使用型別
x509_store _ctx
承載實際校驗證書用到的資料。為了校驗證書,我們首先建立乙個
x509_store
,並且包含了所有可用證書和廢止證書鏈資訊。當需要校驗終端證書時,我們將建立乙個
x509_store_ctx
來進行實際地校驗。
與證書商店(x509_store
)及其相關的上下文同樣重要的乙個物件是
x509_lookup_method
。此型別物件代表了查詢證書或者廢止證書的通用方法。比如
x509_lookup_file
函式返回方法是專用於查詢單個檔案內證書相關的物件,而
x509_lookup_hash_dir
函式返回方法用於在正確設定的
openssl ca
目錄中查詢物件。
x509_lookup_methond
對於建立
x509_lookup
物件來說非常重要。這些物件聚集了其內部可以訪問的證書集合。比如有乙個證書目錄,我們可以建立來自
x509_store
的x509_lookup
物件,並且返回值為
x509_lookup_hash_dir
;然後這個
x509_lookup
物件可以賦值給乙個目錄,這樣
x509_store
物件就可以訪問由
lookup
聚集起來的所有證書和
crls
證書了。
簡單回顧:乙個x509_store
物件包含了
x509_lookup
物件(多份),而
x509_lookup
又是基於
x509_lookup_methond
方法之上的。這就是證書商店可以訪問證書和
crl資料了。因此
store
可以被用來建立
x509_store_ctx
來執行驗證操作了。
x509證書驗證
x509 verify cert函式負責用來驗證證書的有效性,函式原型如下 int x509 verify cert x509 store ctx ctx 驗證成功返回1,失敗返回其他值,失敗的原因可以通過 long ncode x509 store ctx get error ctx const ...
如何使用X 509證書
簡介 在怎樣把x.509證書部署到生產系統之前,你需要了解ssl tsl協議中所支援的認證場景的區別。你部署證書的方式取決於 你選擇的是哪種認證場景。單向認證 在單向認證場景中,伺服器在ssl握手期間會將自己的證書分發給客戶端,以便客戶端能據此驗證目標身份。所以在 此情景下,伺服器相對於客戶端是認證...
什麼是x 509證書?
在使用openssl命令的時候,會用到opessl x509,那麼這個其中的x509代表的是什麼意思呢 本文件就進行簡要的說明。openssl中的x509 x.509.x.509證書主要是基於itu x.509標準的一種數字證書,x.509標準 定義了pki public key infrastru...