如何用C++验证X509证书

Question

我有一个X509格式的证书。这是一个函数中的输入参数。我想要做的是验证证书的有效性。怎么做呢？

X509_verify_cert();

我发现了这个函数，但它不接受X509*证书，它接受X509_store，而我只有一个X509。

谢谢，致以最良好的问候。

Answer 1

请参阅文档here。

您需要使用X509_STORE_CTX_new创建一个证书库。然后使用X509_STORE_CTX_set_chain添加证书链。使用X509_STORE_CTX_trusted_stack添加受信任的根证书。最后，添加要使用X509_STORE_CTX_set_cert验证的证书。

在那之后调用X509_verify_cert。

我希望这能帮助你开始这方面的工作。

Answer 2

我在这里只是为了发布我的答案，因为我发现了上面的评论。

我没有证书链，所以在我正在做的工作中，我只有一个由我编程生成的证书。我想检查它的有效性，所以我创建了以下函数，它在其他证书中检查证书本身，以验证它的有效性。

void check_certificate_validaty(X509* certificate)
{
    int status;
    X509_STORE_CTX *ctx;
    ctx = X509_STORE_CTX_new();
    X509_STORE *store = X509_STORE_new();

    X509_STORE_add_cert(store, certificate);

    X509_STORE_CTX_init(ctx, store, certificate, NULL);

    status = X509_verify_cert(ctx);
    if(status == 1)
    {
        printf("Certificate verified ok\n");
    }else
    {
        printf("%s\n", X509_verify_cert_error_string(ctx->error));
    }
}

希望这对某些人有帮助:)

Answer 3

要验证证书签名，您需要颁发者证书的公钥。此颁发者证书的签名已使用另一个颁发证书(或受信任的根证书)进行验证。因此，如果证书的签名一直向上验证到受信任的根，那么该证书就被认为是受信任的。

自签名证书的签名使用其自己的公钥进行验证，如下例所示：

int verify_cert(const char* pem_c_str)
{
    BIO *bio_mem = BIO_new(BIO_s_mem());
    BIO_puts(bio_mem, pem_c_str);
    X509 * x509 = PEM_read_bio_X509(bio_mem, NULL, NULL, NULL);

    EVP_PKEY *pkey=X509_get_pubkey(x509);
    int r= X509_verify(x509, pkey);
    EVP_PKEY_free(pkey);

    BIO_free(bio_mem);
    X509_free(x509);
    return r;
}

来自：http://www.zedwood.com/article/openssl-c-verify-self-signed-certificate-signature