第十一章opessl证书操作.pptVIP

第十一章openssl证书操作 现有的数字证书大都采用x.509规范，主要有以下信息组成：版本号、整数序列号（在同一个ca是唯一的）、有效期（证书生效和失效的时间）、拥有者信息（姓名、单位、组织、城市、国家等）、颁发者的信息、其他扩展信息（证书的扩展用法、ca自定义的扩展项等）、拥有者的公钥、ca对以上信息的签名。 数字证书是各类实体在网上进行信息交流及行为的身份证明，在网上事务的各个环节，参与的各方都需验证对方证书的有效性，从容解决相互间的信任问题。 Openssl1实现了对x.509数字证书的所有操作。包括签发数字证书、解析和验证证书等。在实际应用开发中，针对证书应用，这里主要是用到证书的验证（验证其证书链、有效期、吊销列表以及其他限制规则等）、证书的解析（获得证书的版本、公钥、拥有者的信息、颁发者信息、有效期）等操作。这些函数均定义在openssl/x.509.h中。 11.1 函数介绍 涉及证书操作的主要函数有验证证书（验证证书链、有效期、CRL）、解析证书（获得证书的版本、序列号、颁发者信息、主题信息、公钥、有效期等） 11.1.1 DER编码转换为内部结构体函数d2i_X509 功能：把一个DER编码的证书数据转化成openssl内部结构体，x509类型。 函数定义： X509 * d2i_X509(X509 ** cert,unsigned char **d,int len); 参数说明： Cert：[OUT] X509结构体 D:[in]der编码的证书数据指针地址。 Len：[in]证书数据长度。 返回值：编码后的X509结构体数据。 11.1.2获得证书版本函数X509_get_version 11.1.3获得证书序列号函数X509_get_serailNumber 函数功能：获得证书序列号。 函数定义： ASN1_INTEGER * X509_get_serailNumber(X509 *x) 参数说明： x：[in] X509*类型数据，证书。 返回值：整数序列号，数据类型“ASN1_INTEGER * ”。 11.1.4获得证书颁发者信息函数X509_get_issuer_name 函数功能：获得证书颁发者信息。 函数定义： X509_get_issuer_name(x509 *a) 参数说明： a:[in]x509*类型数据，证书。 11.2.5获得证书拥有者函数x509_get_subject_name 函数功能：获得证书使用者。 函数定义： x509_get_subject_name （x509 *a） 参数说明： X：[in]x509*类型数据，证书。 返回值：证书使用者信息，数据类型“x509_name” 11.2.6获得证书有效期的起始函数函数x509_get_notbefore 函数功能：获得证书有效期的起始日期 函数定义： #define x509_get_notbefore（x） 参数说明： x：[in] x509*类型数据，证书。 返回值：证书起始有效期，数据类型”asn1_time*” 11.2.7获得证书有效期的起始函数函数x509_get_notafter 函数功能：获得证书有效期的终止日期 函数定义： #define x509_get_notafter（x） 参数说明： x：[in] x509*类型数据，证书。 返回值：证书起始终止日期，数据类型 ”asn1_time*” 11.2.8获得证书公钥函数x509_get_pubkey 函数功能：获得证书的公钥 函数定义： EVP_PKEY * x509_get_pubkey (x509 *x) 参数说明： x：[in] x509*类型数据，证书。 返回值：证书使用者公钥 11.2.9 创建和释放证书存储区函数x509_store_new、 x509_store_free 函数功能：创建和释放一个x509_store结构体，主要用于验证证书。 函数定义： X509_store *x508_store_new(void); Void x509_store_free(x509_store *v) 11.2.10 向证书存储区添加证书函数x509_store_add_cert 函数功能：添加信任的根证书到证书存储区。 函数定义： Int x509_store_add_cert(x509_store *ctx,x509 *x) 参数说明： X：[in]x509*类型数据，受信任的根证书 Ctx：[in]x509_store类型数据，证书存储区。 返回值：操作成功返回1，否则返回0。 11.2.11 向证书存储区添加证书吊销列表函数x509_store_add_crl 函数功能：添加CRL到证书存储区。 函数定义：