我创建了一个公钥/私钥对(Elliptic Curve)SecKeyGeneratePair.
如何SecKey在Swift中使用OpenSSL 使用实例生成CSR?
据我所知,Apple 自己的安全框架目前没有公开用于生成 CSR 的 API。从技术上讲,它是由 OpenSSL 封装的;所以如果你有 OpenSSL(我个人更喜欢 LibreSSL,libtls 让生活变得轻松)。
作为替代方案,您也可以使用 Commoncrypto,我的答案不会涵盖它,但有很多例子
因此,让我们逐步了解如何执行此操作。我发现最简单的使用方法OpenSSL是完全忽略文档并直接阅读源代码。
为了实现我们的需要,我们需要“复制”以下两个命令:
openssl ecparam -out server.key -name prime256v1 -genkey
openssl req -new -key server.key -out server.csr
重要提示:请务必选择安全曲线。使用 openssl ecparam -list_curves 获取您的 openssl 版本支持的曲线列表。阅读更多
步骤1生成密钥
ecparam告诉我们必须首先查看 sslsource/apps/openssl/ecparam.c。
源码给了我们3个步骤:设置BIO进行写入,设置组参数,最后生成密钥。
步骤 2生成 CSR
遵循相同的原则,但这次查看req.c一些代码,其中apps.c包含一些使用的样板代码req.c
我使用这种方法创建了一个在 swift 中运行的粗略但有效的概念证明,您可以在 github 上查看:CertificateTool 该代码将在您可以编译 swift4+ 工具链和某些版本的 openSSL 的任何系统上运行。
编辑:
生成 EC 密钥:
//
// ECKey.swift
// CertificateToolPackageDescription
//
// Created by Antwan van Houdt on 10/01/2018.
//
import CLibreSSL
public class ECKey {
internal let secretKey: OpaquePointer
private let group: OpaquePointer
public init() {
group = EC_GROUP_new_by_curve_name(NID_X9_62_prime256v1)
EC_GROUP_set_asn1_flag(group, OPENSSL_EC_NAMED_CURVE)
EC_GROUP_set_point_conversion_form(group, POINT_CONVERSION_COMPRESSED)
secretKey = EC_KEY_new()
EC_KEY_set_group(secretKey, group)
EC_KEY_generate_key(secretKey)
}
deinit {
EC_KEY_free(secretKey)
EC_GROUP_free(group)
}
}
创建签名请求:
//
// CertificateRequest.swift
// CertificateToolPackageDescription
//
// Created by Antwan van Houdt on 10/01/2018.
//
import CLibreSSL
public enum NIDType: String {
case email = "emailAddress"
case hostName = "CN"
case organizationalUnit = "OU"
case organization = "O"
case city = "L"
case state = "ST"
case countryCode = "C"
}
public class CertificateSigningRequest {
private let request: UnsafeMutablePointer<X509_REQ>
private let key: ECKey
private let name: UnsafeMutablePointer<X509_NAME>
public init(key: ECKey, email: String, hostName: String, organizationalUnit: String, organization: String, countryCode: String, state: String, city: String) {
request = X509_REQ_new()
self.key = key
name = X509_NAME_new()
X509_REQ_set_version(request, 2)
self.add(name: email, type: .email)
self.add(name: hostName, type: .hostName)
self.add(name: organizationalUnit, type: .organizationalUnit)
self.add(name: organization, type: .organization)
self.add(name: countryCode, type: .countryCode)
self.add(name: city, type: .city)
self.add(name: state, type: .state)
X509_REQ_set_subject_name(request, name)
self.setPublicKey()
}
deinit {
X509_REQ_free(request)
X509_NAME_free(name)
}
private func add(name: String, type: NIDType) {
var buff = Array(name.utf8)
X509_NAME_add_entry_by_NID(self.name, OBJ_txt2nid(type.rawValue), MBSTRING_UTF8, &buff, Int32(buff.count), 0, 0)
}
private func setPublicKey() {
let certKey = EVP_PKEY_new()
EVP_PKEY_set1_EC_KEY(certKey, key.secretKey)
X509_REQ_set_pubkey(request, certKey)
X509_REQ_sign(request, certKey, EVP_sha256())
EVP_PKEY_free(certKey)
}
}
注意此代码(尚)不包含任何将 PEM 数据写入文件或数据缓冲区的 BIO 相关函数,但它们确实很容易添加。
免责声明:我不是专业的密码学家,也不了解 OpenSSL API 的所有细节。我不能保证我提供的代码是 100% 正确的实现。始终警惕从网络下载的代码,尤其是加密代码。
| 归档时间: |
|
| 查看次数: |
387 次 |
| 最近记录: |