OpenSSL x509 证书:使用 X509_add1_ext_i2d() 添加扩展
OpenSSL x509 Certificate: Add Extension with X509_add1_ext_i2d()
上下文:
我正在使用 OpenSSL 中的 API 生成 x509 证书。我首先像这样创建 X509 结构:
X509 *x509 = X509_new(); // Assume no errors
我想做什么:
现在我想为这个证书添加一个扩展。具体来说,我想将“Extended Key Usage”扩展设置为值 serverAuth,clientAuth。为此,我尝试使用具有以下签名的 OpenSSL 函数 x509_add1_ext_i2d():
X509_add1_ext_i2d(X509 *x, int nid, void *value, int crit, unsigned long flags)
我正在调用该函数,为 value 传递一个 C 字符串,我认为这是不正确的。这是我正在拨打的电话:
X509_add1_ext_i2d(x509, NID_ext_key_usage, "serverAuth,clientAuth", 0, 0)
发生了什么:
我在运行该行代码时遇到 EXC_BAD_ACCESS (code=EXC_i386_GPFLT) 异常。我假设那是因为我传入的 value 必须是某种特殊的东西(八位字节字符串?某种其他 OpenSSL 值?)
我需要什么:
我需要为 value 参数传递什么才能正确设置字符串值 serverAuth,clientAuth 的扩展名?或者,为什么我会得到列出的异常?注意:如果我删除此行并尝试生成不带扩展名的证书(具有其他属性,如名称、到期日期等,为简洁起见,我已在此处排除)它工作得很好。
我花了一整天的时间研究 OpenSSL 的(非常糟糕的)文档和谷歌搜索。我能找到的所有内容都讨论了如何从命令行而不是代码向证书添加扩展。我无法追踪这个函数到底希望在 value 参数中看到什么。
在深入了解 OpenSSL 的源代码后,我偶然发现 makecert.c 示例中的一个函数也执行此操作。我稍微清理了一下,就在这里。您传入要设置的扩展的 NID 和一个简单的字符串值。非常方便:
BOOL addExtension(X509 *cert, int nid, char *value)
{
X509_EXTENSION *ex = NULL;
X509V3_CTX ctx;
// This sets the 'context' of the extensions. No configuration database
X509V3_set_ctx_nodb(&ctx);
// Issuer and subject certs: both the target since it is self signed, no request and no CRL
X509V3_set_ctx(&ctx, cert, cert, NULL, NULL, 0);
ex = X509V3_EXT_conf_nid(NULL, &ctx, nid, value);
if (!ex) {
return NO;
}
int result = X509_add_ext(cert, ex, -1);
X509_EXTENSION_free(ex);
return (result == 0) ? YES : NO;
}
上下文:
我正在使用 OpenSSL 中的 API 生成 x509 证书。我首先像这样创建 X509 结构:
X509 *x509 = X509_new(); // Assume no errors
我想做什么:
现在我想为这个证书添加一个扩展。具体来说,我想将“Extended Key Usage”扩展设置为值 serverAuth,clientAuth。为此,我尝试使用具有以下签名的 OpenSSL 函数 x509_add1_ext_i2d():
X509_add1_ext_i2d(X509 *x, int nid, void *value, int crit, unsigned long flags)
我正在调用该函数,为 value 传递一个 C 字符串,我认为这是不正确的。这是我正在拨打的电话:
X509_add1_ext_i2d(x509, NID_ext_key_usage, "serverAuth,clientAuth", 0, 0)
发生了什么:
我在运行该行代码时遇到 EXC_BAD_ACCESS (code=EXC_i386_GPFLT) 异常。我假设那是因为我传入的 value 必须是某种特殊的东西(八位字节字符串?某种其他 OpenSSL 值?)
我需要什么:
我需要为 value 参数传递什么才能正确设置字符串值 serverAuth,clientAuth 的扩展名?或者,为什么我会得到列出的异常?注意:如果我删除此行并尝试生成不带扩展名的证书(具有其他属性,如名称、到期日期等,为简洁起见,我已在此处排除)它工作得很好。
我花了一整天的时间研究 OpenSSL 的(非常糟糕的)文档和谷歌搜索。我能找到的所有内容都讨论了如何从命令行而不是代码向证书添加扩展。我无法追踪这个函数到底希望在 value 参数中看到什么。
在深入了解 OpenSSL 的源代码后,我偶然发现 makecert.c 示例中的一个函数也执行此操作。我稍微清理了一下,就在这里。您传入要设置的扩展的 NID 和一个简单的字符串值。非常方便:
BOOL addExtension(X509 *cert, int nid, char *value)
{
X509_EXTENSION *ex = NULL;
X509V3_CTX ctx;
// This sets the 'context' of the extensions. No configuration database
X509V3_set_ctx_nodb(&ctx);
// Issuer and subject certs: both the target since it is self signed, no request and no CRL
X509V3_set_ctx(&ctx, cert, cert, NULL, NULL, 0);
ex = X509V3_EXT_conf_nid(NULL, &ctx, nid, value);
if (!ex) {
return NO;
}
int result = X509_add_ext(cert, ex, -1);
X509_EXTENSION_free(ex);
return (result == 0) ? YES : NO;
}