25.1 证书申请介绍
生成X509数字证书前,一般先由用户提交证书申请文件,然后由CA来签发证书。
a.用户生成自己的公私钥对
b.构造自己的证书申请文件,符合PKCS#10标准。该文件主要包括了用户信息、公钥以及一些可选的属性信息,并用自己的私钥给改内容签名
c.用户将证书申请文件提交给CA
d.CA验证签名,提取用户信息,并加上其他信息,用CA的私钥签发数字证书。
X509证书申请的格式标准为pkcs#1和rfc2314
25.2 数据结构
根据PKCS#10,openssl的X509数字证书申请结构定义在crypto/x509.h中,如下所示,主要由两部分组成
a.X509_REQ_INFO
typedef struct X509_req_info_st
{
ASN1_ENCODING enc;
ASN1_INTEGER *version;
X509_NAME *subject;
X509_PUBKEY *pubkey;
STACK_OF(X509_ATTRIBUTE) *attributes;
}X509_REQ_INFO
该结构为证书申请信息主体,
version表示版本,
subject为申请者信息
pubkey申请者公钥信息
attributes可选的属性信息。该结构的DER编码借口在x_req.c中由宏实现,实现了new\free\i2d和d2函数
b.X509_REQ
typedef struct X509_req_st
{
X509_REQ_INFO *req_info 信息主体
X509_ALGOR *sig_alg; 签名算法
ASN1_BIT_STRING *signature; 签名值
int references;
}
25.3 主要函数
函数
功能
X509_REQ_add1_attr
添加一个属性到req的属性堆栈中
X509_REQ_add1_attr_by_NID
添加一个属性的req属性堆栈中,nid指明了属性类型,bytes属性值
X509_REQ_add1_attr_by_OBJ
属性类型由属性名指定
X509_REQ_add1_attr_by_txt
属性类型由属性名指定
X509_REQ_add_extension_nid
添加一个属性到req的属性堆栈中,将exts扩展项集合作为一个属性加入
X509_REQ_add_extensions
调用X509_REQ_add_extension_nid
X509_REQ_delete_attr
从属性堆栈中删除制定位置的属性
X509_REQ_digest
根据制定的摘要算法,对X509_REQ结构做摘要计算
X509_REQ_dup
拷贝函数,返回一个X509_REQ
X509_REQ_extension_nid
判断req_nid是否为NID_ext_req、NID_ms_ext_req或者
其他有用户设置的NID
X509_REQ_get_extensions
获取X509_REQ中属性信息,并将属性信息转换为X509_EXTENSION堆栈
X509_REQ_get_attr
根据指定位置,获取属性堆栈中的一个属性
X509_REQ_get_attr_by_NID
根据属性nid,从req的属性堆栈中查找对应属性,并返回。
缠着堆栈时,从lastpos位置开始查找
X509_REQ_get_attr_by_OBJ
根据ASN1_OBJECT来查找属性
X509_REQ_get_attr_by_count
属性堆栈中属性的个数
X509_REQ_get_extension_nids
X509_REQ_set_extension_nids
获取证书申请合法扩展项列表,
X509_REQ_get_pubkey
获取公钥
X509_REQ_print
将证书申请信息输出到BIO中
X509_REQ_print_ex
将证书申请信息输出到BIO中,输出内容通过clag进行过滤
X509_REQ_print_fp
将证书申请消息输出到FILE中
X509_to_X509_REQ
根据证书信息,申请者私钥以及摘要素爱发生成证书请求。
X509_REQ_to_X509
根据证书信息,申请者私钥以及摘要算法生成证书请求
X509_REQ_print_fp
将证书申请输出到FILE中
X509_REQ_to_X509
根据X509_REQ生成一个数字证书并返回,days指明其失效期
X509_REQ_set_pubkey
设置证书请求的公钥
X509_REQ_set_subject_name
设置证书请求的者的名称,此函数调用X509_NAME_set函数来实现
X509_REQ_set_version
设置帧数请求信息的版本,此函数调用ASN1_INTEGERT_set函数完成
阅读(1445) | 评论(0) | 转发(0) |