我正在使用的参考书(网络安全与OpenSSL,Viega,Messier和Chandra),第133页,指出:
[...]应用程序必须加载CRL文件,以便内部验证过程确保其验证的每个证书都不会被撤销.不幸的是,OpenSSL的CRL功能在0.9.6版本中不完整.从0.9.7开始的新版本中将完成利用CRL信息所需的功能.[...]
我在OpenSSL文档中找不到任何有用的信息(毫不奇怪).在我看来,检查CRL应该是OpenSSL验证过程的自动部分.现在是否自动处理CRL,或者我是否仍然必须通过书中列出的所有垃圾来费力地验证证书是否未被撤销?
一个密切相关的问题:该SSL_CTX_set_default_verify_paths函数是否也加载了CRL路径?
我有DER和PEM格式的证书,我的目标是检索Issuer和Subject的字段,并使用CA公钥验证证书,同时使用根公钥验证CA证书.我能够检索发行人和主题的所有细节,但无法验证证书.
使用的API:
x509 = d2i_X509_fp (fp, &x509); //READING DER Format
x509 = PEM_read_X509 (fp, &x509, NULL, NULL); //READING PEM Format
//to retrieve the Subject:
X509_NAME_oneline(X509_get_subject_name(x509), subject, sizeof (subject));
//to retrieve the Issuer:
X509_NAME_oneline(X509_get_issuer_name(x509), issuer, sizeof (issuer));
//To store the CA public key (in unsigned char *key) that will be used to verify the
//certificate (in my case always sha1WithRSAEncryption):
RSA *x = X509_get_pubkey(x509)->pkey.rsa;
bn = x->n;
//extracts the bytes from public key & convert into unsigned char buffer
buf_len = …我正在开发一个xcode自动构建系统.执行一些预构建验证时,我想检查指定的证书文件是否已被撤销.据我所知,security verify-cert验证其他证书属性,但不验证revokation.我怎样才能检查是否失败?
我正在用Ruby编写构建系统,但我对任何语言的思想都很开放.
我读了这个答案(Openssl - 如何检查证书是否被撤销)但是底部的链接(OpenSSL现在是否自动处理CRL(证书撤销列表)?)进入的材料对我来说有点过于牵连(上传撤销证书的用户是一个远远不够的案例).是否有一个更简单/红宝石的方法来检查revokation?
提前致谢!