So laden Sie eine PKCS#12-Datei in OpenSSL programmgesteuert?

In ein SSL-Server-Anwendung basiert auf OpenSSL, wie können wir laden Sie ein PKCS#12-Datei programmgesteuert?

Außerdem kann ich laden Sie ein PKCS#12-Datei, mit Zertifikat, Schlüssel & CAs in der gleichen Datei in OpenSSL?

InformationsquelleAutor Jay | 2011-06-16

  1. 36

    Ja, Sie können das laden einer PKCS#12 Datei mit Zertifikat -, key-und Zertifizierungsstellen, die in der gleichen Datei mit OpenSSL.

    • Verwenden d2i_PKCS12_fp() oder d2i_PKCS12_bio() zum laden des PKCS#12-Datei.
    • Optional PKCS12_verify_mac() um das Kennwort zu prüfen.
    • Verwenden PKCS12_parse() die entschlüsselt und extrahiert Schlüssel, das Zertifikat und die CA-Kette für Sie.

    Vom openssl-1.0.0 d/demos/pkcs12/pkread.c:

    #include <stdio.h>
#include <stdlib.h>
#include <openssl/pem.h>
#include <openssl/err.h>
#include <openssl/pkcs12.h>

/* Simple PKCS#12 file reader */

int main(int argc, char **argv)
{
    FILE *fp;
    EVP_PKEY *pkey;
    X509 *cert;
    STACK_OF(X509) *ca = NULL;
    PKCS12 *p12;
    int i;
    if (argc != 4) {
        fprintf(stderr, "Usage: pkread p12file password opfile\n");
        exit (1);
    }
    OpenSSL_add_all_algorithms();
    ERR_load_crypto_strings();
    if (!(fp = fopen(argv[1], "rb"))) {
        fprintf(stderr, "Error opening file %s\n", argv[1]);
        exit(1);
    }
    p12 = d2i_PKCS12_fp(fp, NULL);
    fclose (fp);
    if (!p12) {
        fprintf(stderr, "Error reading PKCS#12 file\n");
        ERR_print_errors_fp(stderr);
        exit (1);
    }
    if (!PKCS12_parse(p12, argv[2], &pkey, &cert, &ca)) {
        fprintf(stderr, "Error parsing PKCS#12 file\n");
        ERR_print_errors_fp(stderr);
        exit (1);
    }
    PKCS12_free(p12);
    if (!(fp = fopen(argv[3], "w"))) {
        fprintf(stderr, "Error opening file %s\n", argv[1]);
        exit(1);
    }
    if (pkey) {
        fprintf(fp, "***Private Key***\n");
        PEM_write_PrivateKey(fp, pkey, NULL, NULL, 0, NULL, NULL);
    }
    if (cert) {
        fprintf(fp, "***User Certificate***\n");
        PEM_write_X509_AUX(fp, cert);
    }
    if (ca && sk_X509_num(ca)) {
        fprintf(fp, "***Other Certificates***\n");
        for (i = 0; i < sk_X509_num(ca); i++) 
            PEM_write_X509_AUX(fp, sk_X509_value(ca, i));
    }

    sk_X509_pop_free(ca, X509_free);
    X509_free(cert);
    EVP_PKEY_free(pkey);

    fclose(fp);
    return 0;
}
    +1 für die ausführliche und Gründliche Antwort!
    Der obige code u gab wird zum Lesen an DER encode-P12-Zertifikat . gibt es eine API zum Lesen von PEM-kodierte P12-Zertifikat
    Ich habe nie gesehen, dass eine PEM-codierte PKCS#12-Datei oder software, die es unterstützt.
    Ich Frage mich, wenn Sie können erweitern Sie diese beantworten, damit es analysiert die PKCS12-Struktur ohne Speicherverlust (ie, so ist es geeignet für den Einsatz in einem lange Laufenden Programm). Insbesondere PKCS12_parse scheint Leck über 4kB.
    Ich fügte hinzu, die weitere Säuberungsaktionen von ca, cert und pkey. Ich habe noch ein Leck mit OpenSSL 0.9.8, aber nicht mit 1.0.1.

    InformationsquelleAutor Mathias Brossard

  2. 1

    Versuchen man SSL, die Ihnen eine Liste mit OpenSSL-Funktionen. So etwas wie SSL_load_client_CA_file kann für Ihre Bedürfnisse; es hängt davon ab, ob das Zertifikat ist in einer Datei auf der Festplatte oder die bereits im Speicher. Es gibt viele Hilfsfunktionen, einer von Ihnen wird den trick tun. Schauen Sie sich auch man PEM für PEM-handling-Routinen.

    Edit: Hm, vielleicht eine Kombination von d2i_PKCS12_fp und PKCS12_parse (beide erhältlich von <openssl/pkcs12.h>) können Sie Lesen Sie ein Zertifikat aus Datei und analysieren es.

    InformationsquelleAutor Kerrek SB

  3. 1

    Gewarnt werden, dass der code schreibt die Zertifikate als Vertrauenswürdige Zertifikate (verschlüsselt).
    Wenn Sie möchten, dass unverschlüsselte Zertifikate, ändern Sie die Aufrufe PEM_write_X509_AUX() PEM_write_X509().

    - Der text sollte wirklich in die Kommentare.
    Das war mein Thema war die tags BEGINNEN VERTRAUENSWÜRDIGES ZERTIFIKAT anstatt Nur zu BEGIN CERTIFICATE

    InformationsquelleAutor Rune Torgersen

Schreibe einen Kommentar