我有一个问题,我允许用户上传证书和私钥文件。现在假设我有一个文件的扩展名被弄乱(有意或无意地更改),据说会破坏系统。我需要进行一个验证,可以检查并告诉我给定的文件是有效的证书文件或私钥文件或其他文件..
我要做的是:检查文件内容中的 -- BEGIN CERTIFICATE --
、-- BEGIN RSA PRIVATE KEY --
..请告诉我什么我的事情很好,或者还有其他更好的解决方案来解决这个问题..
谢谢
最佳答案
check and can tell me that the given file is a valid certificate file or private key file
我将用 C 语言回答这个问题,因为 OpenSSL 是一个 C 库。其他人也许可以将其翻译为 pyOpenSSL
,在这种情况下,他们可能有比我更好的答案。
这里有两个答案。第一个是证书,第二个是私钥。首先显示私钥,因为它用于验证证书(因此首先访问它是有意义的)。
此外,调用 *_check_key
例程也很重要,因为 OpenSSL 仅检查 key 是否已正确编码;并且它不检查其是否确实有效。例如,参见Private key generated by openssl does not satisfy n = p * q .
在 OpenSSL 中,您可以使用以下命令来验证私钥:
FILE* file = fopen(...);
EVP_PKEY* pkey = PEM_read_PrivateKey(file, NULL, PasswordCallback, NULL);
unsigned long err = ERR_get_error();
if(pkey)
EVP_PKEY_free(pkey);
如果pkey
为NULL
,则存在问题,并且err
包含原因代码。否则,您就有一个正确编码的私钥(但不一定有效)。
PasswordCallback
可以简单地在缓冲区中提供密码,也可以提示用户并返回缓冲区中的密码。有关 PasswordCallback
的更多信息,请参阅 Loading a PEM format certificate .
如果 key 编码正确,您可以检查私钥的类型并使用以下命令进行验证。
int type = EVP_PKEY_get_type(pkey);
switch (type)
{
case EVP_PKEY_RSA:
case EVP_PKEY_RSA2:
RSA* rsa = EVP_PKEY_get1_RSA(pkey);
rc = RSA_check_key(rsa);
ASSERT(rc);
RSA_free(rsa);
break;
case EVP_PKEY_DSA:
case EVP_PKEY_DSA1:
case EVP_PKEY_DSA2:
case EVP_PKEY_DSA3:
case EVP_PKEY_DSA4:
DSA* dsa = EVP_PKEY_get1_DSA(pkey);
rc = DSA_check_key(dsa);
ASSERT(rc);
DSA_free(dsa);
break;
case EVP_PKEY_DH:
DH* dh = EVP_PKEY_get1_DH(pkey);
rc = DH_check_key(dh);
ASSERT(rc);
DH_free(dh);
break;
case EVP_PKEY_EC:
EC_KEY* ec = EVP_PKEY_get1_EC_KEY(pkey);
rc = EC_KEY_check_key(ec);
ASSERT(rc);
EC_KEY_free(ec);
break;
default:
ASSERT(0);
}
EVP_PKEY_get_type
不是 OpenSSL 的一部分。以下是我的实现方法:
int EVP_PKEY_get_type(EVP_PKEY *pkey)
{
ASSERT(pkey);
if (!pkey)
return NID_undef;
return EVP_PKEY_type(pkey->type);
}
在 OpenSSL 中,您可以使用以下命令来验证证书:
FILE* file = fopen(...);
X509* x509 = PEM_read_X509(file, NULL, NULL, NULL);
unsigned long err = ERR_get_error();
如果x509
为NULL
,则存在问题并且err
包含原因代码。否则,您拥有正确编码的证书(但不一定有效)。
然后您可以通过以下方式验证证书:
/* See above on validating the private key */
EVP_PKEY* pkey = ReadPrivateKey(...);
int rc = X509_verify(x509, pkey);
err = ERR_get_error();
如果 rc != 1
,则存在问题,并且 err
包含原因代码。否则,您拥有有效的证书和私钥对。如果证书有效,则您不能使用 err
,因为 err
仅在出现问题时才有效。
如果您的证书是由颁发者(例如 CA 或中间机构)签名的,那么您需要使用 X509_STORE
来验证颁发者在您的证书上的签名(省略了很多错误检查) ):
const char* serverCertFilename = ...;
const char* issuerCertFilename = ...;
X509_STORE* store = X509_STORE_new();
ASSERT(store);
static const long flags = X509_V_FLAG_X509_STRICT | X509_V_FLAG_CHECK_SS_SIGNATURE
| X509_V_FLAG_POLICY_CHECK;
rc = X509_STORE_set_flags(store, flags);
err = ERR_get_error();
ASSERT(rc);
/* Some other object/functions owns 'lookup', but I'm not sure which (perhaps the store) */
X509_LOOKUP* lookup = X509_STORE_add_lookup(store, X509_LOOKUP_file());
/* err = ERR_get_error(); // Does not set error codes. */
ASSERT(lookup);
/* Cannot load this from memory. No API!!! */
rc = X509_LOOKUP_load_file(lookup, issuerCertFilename, X509_FILETYPE_PEM);
/* err = ERR_get_error(); // Does not set error codes. */
ASSERT(rc);
X509_STORE_CTX* ctx = X509_STORE_CTX_new();
ASSERT(ctx);
X509* serverCert = ReadCertifcate(serverCertFilename);
ASSERT(serverCert);
rc = X509_STORE_CTX_init(ctx, store, serverCert, NULL);
ret = err = ERR_get_error();
ASSERT(rc);
/* Error codes at https://www.openssl.org/docs/crypto/X509_STORE_CTX_get_error.html */
rc = X509_verify_cert(ctx);
err = X509_STORE_CTX_get_error(ctx);
/* Do cleanup, return success/failure */
关于python-2.7 - 检查文件是证书还是 key ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22398477/