mbedtls 无法解析有效的 x509 证书
mbedtls cannot parse valid x509 certificate
我有以下证书:
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
我把它喂给了几个证书阅读网站,他们都能够解析和显示它的内容。
我尝试使用 mbedtls 使用以下代码解析此证书:
mbedtls_x509_crt certificate;
mbedtls_x509_crt_init(&certificate);
char certificate_string[] = "-----BEGIN CERTIFICATE--..."
int result_code = mbedtls_x509_crt_parse(&certificate, (unsigned char*)certificate_string, strlen(certificate_string));
if(result_code != 0) {
char err_str[256];
mbedtls_strerror(result_code, err_str, 256);
printf("Could not read the certificate. Error: %s\n", err_str);
return -1;
}
然后我检查 result_code 是否为 0,如果不是,则打印错误消息。每次尝试解析此证书时,我都会收到以下错误消息:
“无法读取证书。错误:X509 - CRT/CRL/CSR 格式无效,例如预期类型不同”
我尝试查看 mbedtls_x509_crt_parse 代码以查看导致此消息的原因,然后我修改了代码以使用以下 mbedtls_x509_crt_parse 片段:
mbedtls_pem_context pem;
size_t use_len;
mbedtls_pem_init(&pem);
// If we get there, we know the string is null-terminated
int ret = mbedtls_pem_read_buffer(&pem,
"-----BEGIN CERTIFICATE-----",
"-----END CERTIFICATE-----",
(unsigned char *)certificate_string,
NULL,
0,
&use_len);
if(ret != 0) {
printf("we could not pem read the string\n");
return -1;
}
else {
printf("We pem read the certificate\n");
}
ret = mbedtls_x509_crt_parse_der(&certificate, pem.buf, pem.buflen);
if(ret != 0) {
printf("crt parse der has failed\n");
}
else {
printf("The issuer is: %s\n", certificate.issuer.val.p);
return 0;
}
当我 运行 程序时,我得到以下输出:
491231235959Z010�Uzon Web Services O=Amazon.com Inc. L=西雅图 ST=华盛顿 C=US0
*��H�� AWS IoT Certificate0�"0
我一直在寻找问题的答案,我发现 post 说 mbedtls 默认配置为使用 RSA 1024,所以如果你的密钥是 2048(它在我的) 然后 mbedtls 将有解析错误。我修改了配置文件使用2048,我重建了库,但我仍然报错。
有什么想法吗?我觉得我真的很接近,因为 mbedtls_x509_crt_parse 几乎全程执行。根据我看到的代码示例,我非常确定我正在正确使用该库。
谢谢!
最初,PEM 格式的证书字符串是用以下代码解析的:
mbedtls_x509_crt certificate;
mbedtls_x509_crt_init(&certificate);
char certificate_string[] = "-----BEGIN CERTIFICATE--..."; // actually much longer
int result_code = mbedtls_x509_crt_parse(&certificate, (unsigned char*)certificate_string, strlen(certificate_string));
这导致了解析错误,因为对于 PEM 格式输入,调用 mbedtls_x509_crt certificate 的最终参数应该是输入的长度 ,包括空终止符 .将最后一个参数更改为 1 + strlen(certificate_string) 可解决问题。
解析成功后,使用以下方式打印发行人字符串:
printf("The issuer is: %s\n", certificate.issuer.val.p);
这产生了一些垃圾输出,看起来好像发行者字符串的初始部分已被覆盖,但实际上是由于发行者字符串中缺少空终止符。发行者字符串之后的数据字节包括 ASCII CR 字符,导致终端光标位置移动到行的开头并打印输出的初始部分。 (例如,通过 | od -c 管道输出可以看到 CR 字符,它们显示为 \r。)
通过 | od -c 管道输出产生:
0000000 T h e i s s u e r i s : A
0000020 m a z o n W e b S e r v i c
0000040 e s O = A m a z o n . c o m
0000060 I n c . L = S e a t t l e S
0000100 T = W a s h i n g t o n C = U
0000120 S 0 036 027 \r 2 0 0 7 2 8 1 1 3 3 1
0000140 2 Z 027 \r 4 9 1 2 3 1 2 3 5 9 5 9
0000160 Z 0 036 1 034 0 032 006 003 U 004 003 \f 023 A W
0000200 S I o T C e r t i f i c a t
0000220 e 0 202 001 " 0 \r 006 \t * 206 H 206 367 \r 001
0000240 001 001 005 \n
0000244
将不可打印的字节显示为 3 位八进制代码或 C 反斜杠转义码,具体取决于字节值。
要打印不含垃圾的发行者字符串,请将 printf 调用更改为以下内容:
printf("The issuer is: %.*s\n", (int)certificate.issuer.val.len, certificate.issuer.val.p);
我有以下证书:
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
我把它喂给了几个证书阅读网站,他们都能够解析和显示它的内容。
我尝试使用 mbedtls 使用以下代码解析此证书:
mbedtls_x509_crt certificate;
mbedtls_x509_crt_init(&certificate);
char certificate_string[] = "-----BEGIN CERTIFICATE--..."
int result_code = mbedtls_x509_crt_parse(&certificate, (unsigned char*)certificate_string, strlen(certificate_string));
if(result_code != 0) {
char err_str[256];
mbedtls_strerror(result_code, err_str, 256);
printf("Could not read the certificate. Error: %s\n", err_str);
return -1;
}
然后我检查 result_code 是否为 0,如果不是,则打印错误消息。每次尝试解析此证书时,我都会收到以下错误消息: “无法读取证书。错误:X509 - CRT/CRL/CSR 格式无效,例如预期类型不同”
我尝试查看 mbedtls_x509_crt_parse 代码以查看导致此消息的原因,然后我修改了代码以使用以下 mbedtls_x509_crt_parse 片段:
mbedtls_pem_context pem;
size_t use_len;
mbedtls_pem_init(&pem);
// If we get there, we know the string is null-terminated
int ret = mbedtls_pem_read_buffer(&pem,
"-----BEGIN CERTIFICATE-----",
"-----END CERTIFICATE-----",
(unsigned char *)certificate_string,
NULL,
0,
&use_len);
if(ret != 0) {
printf("we could not pem read the string\n");
return -1;
}
else {
printf("We pem read the certificate\n");
}
ret = mbedtls_x509_crt_parse_der(&certificate, pem.buf, pem.buflen);
if(ret != 0) {
printf("crt parse der has failed\n");
}
else {
printf("The issuer is: %s\n", certificate.issuer.val.p);
return 0;
}
当我 运行 程序时,我得到以下输出:
491231235959Z010�Uzon Web Services O=Amazon.com Inc. L=西雅图 ST=华盛顿 C=US0 *��H�� AWS IoT Certificate0�"0
我一直在寻找问题的答案,我发现 post 说 mbedtls 默认配置为使用 RSA 1024,所以如果你的密钥是 2048(它在我的) 然后 mbedtls 将有解析错误。我修改了配置文件使用2048,我重建了库,但我仍然报错。
有什么想法吗?我觉得我真的很接近,因为 mbedtls_x509_crt_parse 几乎全程执行。根据我看到的代码示例,我非常确定我正在正确使用该库。
谢谢!
最初,PEM 格式的证书字符串是用以下代码解析的:
mbedtls_x509_crt certificate;
mbedtls_x509_crt_init(&certificate);
char certificate_string[] = "-----BEGIN CERTIFICATE--..."; // actually much longer
int result_code = mbedtls_x509_crt_parse(&certificate, (unsigned char*)certificate_string, strlen(certificate_string));
这导致了解析错误,因为对于 PEM 格式输入,调用 mbedtls_x509_crt certificate 的最终参数应该是输入的长度 ,包括空终止符 .将最后一个参数更改为 1 + strlen(certificate_string) 可解决问题。
解析成功后,使用以下方式打印发行人字符串:
printf("The issuer is: %s\n", certificate.issuer.val.p);
这产生了一些垃圾输出,看起来好像发行者字符串的初始部分已被覆盖,但实际上是由于发行者字符串中缺少空终止符。发行者字符串之后的数据字节包括 ASCII CR 字符,导致终端光标位置移动到行的开头并打印输出的初始部分。 (例如,通过 | od -c 管道输出可以看到 CR 字符,它们显示为 \r。)
通过 | od -c 管道输出产生:
0000000 T h e i s s u e r i s : A
0000020 m a z o n W e b S e r v i c
0000040 e s O = A m a z o n . c o m
0000060 I n c . L = S e a t t l e S
0000100 T = W a s h i n g t o n C = U
0000120 S 0 036 027 \r 2 0 0 7 2 8 1 1 3 3 1
0000140 2 Z 027 \r 4 9 1 2 3 1 2 3 5 9 5 9
0000160 Z 0 036 1 034 0 032 006 003 U 004 003 \f 023 A W
0000200 S I o T C e r t i f i c a t
0000220 e 0 202 001 " 0 \r 006 \t * 206 H 206 367 \r 001
0000240 001 001 005 \n
0000244
将不可打印的字节显示为 3 位八进制代码或 C 反斜杠转义码,具体取决于字节值。
要打印不含垃圾的发行者字符串,请将 printf 调用更改为以下内容:
printf("The issuer is: %.*s\n", (int)certificate.issuer.val.len, certificate.issuer.val.p);