OpenSSL을 사용하여 X509 인증서의 확장 프로그램 쿼리

Question

OpenSSL 라이브러리의 X509 인증서 클래스로 작업 중이며 "키 사용"확장 프로그램을 쿼리해야합니다.

은 OpenSSL의 베이퍼웨어 "문서"를 포기 후 일부는 샷 - 인 - 더 - 어둠 웹 검색 결국 내가

X509_get_ext_d2i(X509 *x, int nid, int *crit, int *idx) 

과 objects.h 헤더를 통해 검색을 호출하는 데 필요한 적절한 NID 밝혀 것으로 나타났다.

문제는이 호출이 void에 대한 포인터를 반환한다는 것입니다.이 포인터는 어떤 확장 프로그램이 요청했는지에 따라 다양한 구조체를 가리킬 수 있습니다.

아무 것도 문서화 된 것으로 보이지 않으므로 함수가 반환하는 구문을 파싱하는 방법을 파악할 방법이 없습니다.

필자가 직접 알아낼 수있는 것들 (함수 프로파일, 파일의 출처 등)을 나열하는 대신, 실제로 이것에 대해 이야기하는 문서를 누군가가 가리킬 수 있습니까?

Answer 1

두 번째 매개 변수 (nid)가 반환되는 유형을 결정합니다.

이 코드를 보면이 :

http://opengrok.creo.hu/dragonfly/xref/src/crypto/openssl-0.9/crypto/x509v3/v3_purp.c#X509_check_purpose

이 키 사용 NID 위해, 그것은 ASN1_BIT_STRING을 반환 것으로 보인다. (라인 361).

Answer 2

키 사용을 읽을 수있는 가장 쉬운 솔루션은

X509* x509_cert = ... 
// without X509_check_ca x509_cert->ex_kusage always returns 0 (no idea why) 
int ca = X509_check_ca(x509_cert); 
unsigned long usage = x509_cert->ex_kusage; 

결과 값이 opensc/pkcs15-init.h

SC_PKCS15INIT_X509_DIGITAL_SIGNATURE  0x0080UL 
SC_PKCS15INIT_X509_NON_REPUDIATION  0x0040UL 
SC_PKCS15INIT_X509_KEY_ENCIPHERMENT  0x0020UL 
SC_PKCS15INIT_X509_DATA_ENCIPHERMENT  0x0010UL 
SC_PKCS15INIT_X509_KEY_AGREEMENT   0x0008UL 
SC_PKCS15INIT_X509_KEY_CERT_SIGN   0x0004UL 
SC_PKCS15INIT_X509_CRL_SIGN    0x0002UL 

에 정의되어 나는를 찾아 그 soultion에 온 것 같다 다음 코드는 openssl 소스 파일입니다.

/* Handle key usage */ 
if((usage=X509_get_ext_d2i(x, NID_key_usage, NULL, NULL))) { 
    if(usage->length > 0) { 
     x->ex_kusage = usage->data[0]; 
     if(usage->length > 1) 
     x->ex_kusage |= usage->data[1] << 8; 
    } else x->ex_kusage = 0; 
    x->ex_flags |= EXFLAG_KUSAGE; 
    ASN1_BIT_STRING_free(usage); 
}