développement back-end
Golang
Lors de la signature d'un certificat, l'identifiant de la clé d'autorisation est copié dans le SKID
Lors de la signature d'un certificat, l'identifiant de la clé d'autorisation est copié dans le SKID
l'éditeur php Strawberry a souligné lors de l'introduction du certificat de signature que l'identifiant de clé autorisé (SKID) joue un rôle important dans le processus de signature. Lorsqu'un certificat est signé, le SKID est copié dans le certificat et identifie la clé autorisée du certificat. L'existence de cet identifiant peut contribuer à garantir l'authenticité et la légalité du certificat, et également faciliter la vérification et la gestion ultérieures du certificat. La copie du SKID est une étape nécessaire lors de la signature d'un certificat et joue un rôle important dans l'utilisation et la maintenance du certificat.
Contenu de la question
J'essaie de signer un certificat en utilisant csr et spacemonkeygo/openssl wrapper.
La commande openssl de la console pour signer le certificat fonctionne comme prévu et j'obtiens un certificat valide.
openssl x509 -req -days 365 -in cert_client.csr -ca ca/root.crt -cakey ca/root.key -set_serial 10101 -out cert_client.crt -extfile ca/extensions.cnf
Comme le montre la capture d'écran, les keyid du dérapage et de l'émetteur sont différents.
Cependant, mon code en go fournit le mauvais certificat, où le dérapage contient la valeur exacte du keyid qui a émis le certificat. Cela entraîne la copie d'une valeur non valide pour « Émetteur » dans « Authority Key Identifier » : puisque le dérapage est le même que le keyid de l'émetteur, il « pense » que le certificat est auto-émis.
package main
import (
"github.com/spacemonkeygo/openssl"
"math/big"
"os"
"time"
)
func main() {
crtfilepath := filepath("ca/root.crt")
keyfilepath := filepath("ca/root.key")
certca, privatekeyca, err := getrootca(pathcert(crtfilepath), pathkey(keyfilepath))
if err != nil {
panic(err)
}
serialnumber := big.newint(10101)
country := "ru"
organization := "some organization"
commonname := "commonname"
expirationdate := time.now().adddate(1, 0, 0)
certinfo := &openssl.certificateinfo{
serial: serialnumber,
expires: expirationdate.sub(time.now()),
commonname: commonname,
// will fail if these are empty or not initialized
country: country,
organization: organization,
}
// just for example. publickey is received from csr
privatekeycert, err := openssl.generatersakey(2048)
if err != nil {
panic(err)
}
newcert, err := openssl.newcertificate(certinfo, openssl.publickey(privatekeycert))
if err != nil {
panic(err)
}
err = newcert.setversion(openssl.x509_v3)
if err != nil {
panic(err)
}
// (?) must be called before adding extensions
err = newcert.setissuer(certca)
if err != nil {
panic(err)
}
err = newcert.addextension(openssl.nid_basic_constraints,
"critical,ca:false")
if err != nil {
panic(err)
}
err = newcert.addextension(openssl.nid_subject_key_identifier,
"hash")
if err != nil {
panic(err)
}
err = newcert.addextension(openssl.nid_authority_key_identifier,
"keyid:always,issuer:always")
if err != nil {
panic(err)
}
err = newcert.sign(privatekeyca, openssl.evp_sha256)
if err != nil {
panic(err)
}
pembytes, err := newcert.marshalpem()
if err != nil {
panic(err)
}
err = os.writefile("generated.crt", pembytes, os.filemode(0644))
if err != nil {
panic(err)
}
print("done")
}
type filepath string
type pathcert string
type pathkey string
func getrootca(pathcert pathcert, pathkey pathkey) (*openssl.certificate, openssl.privatekey, error) {
capublickeyfile, err := os.readfile(string(pathcert))
if err != nil {
return nil, nil, err
}
certca, err := openssl.loadcertificatefrompem(capublickeyfile)
if err != nil {
return nil, nil, err
}
caprivatekeyfile, err := os.readfile(string(pathkey))
if err != nil {
return nil, nil, err
}
privatekeyca, err := openssl.loadprivatekeyfrompem(caprivatekeyfile)
if err != nil {
return nil, nil, err
}
return certca, privatekeyca, nil
}(Celui généré est correct)
Si je n'appelle pas setissuer, le dérapage est nouvellement généré, mais le certificat généré apparaît toujours comme "invalide".
Qu'est-ce que je fais de mal dans mon code ?
Mise à jour :
J'ai comparé l'implémentation en ajoutant des extensions pour 2 wrappers : spacemonkey/go 和 pyopenssl.
Aller sur :
// add an extension to a certificate.
// extension constants are nid_* as found in openssl.
func (c *certificate) addextension(nid nid, value string) error {
issuer := c
if c.issuer != nil {
issuer = c.issuer
}
var ctx c.x509v3_ctx
c.x509v3_set_ctx(&ctx, c.x, issuer.x, nil, nil, 0)
ex := c.x509v3_ext_conf_nid(nil, &ctx, c.int(nid), c.cstring(value))
if ex == nil {
return errors.new("failed to create x509v3 extension")
}
defer c.x509_extension_free(ex)
if c.x509_add_ext(c.x, ex, -1) <= 0 {
return errors.new("failed to add x509v3 extension")
}
return nil
}python (quelques commentaires omis) :
# X509Extension::__init__
def __init__(
self,
type_name: bytes,
critical: bool,
value: bytes,
subject: Optional["X509"] = None,
issuer: Optional["X509"] = None,
) -> None:
ctx = _ffi.new("X509V3_CTX*")
# A context is necessary for any extension which uses the r2i
# conversion method. That is, X509V3_EXT_nconf may segfault if passed
# a NULL ctx. Start off by initializing most of the fields to NULL.
_lib.X509V3_set_ctx(ctx, _ffi.NULL, _ffi.NULL, _ffi.NULL, _ffi.NULL, 0)
# We have no configuration database - but perhaps we should (some
# extensions may require it).
_lib.X509V3_set_ctx_nodb(ctx)
# Initialize the subject and issuer, if appropriate. ctx is a local,
# and as far as I can tell none of the X509V3_* APIs invoked here steal
# any references, so no need to mess with reference counts or
# duplicates.
if issuer is not None:
if not isinstance(issuer, X509):
raise TypeError("issuer must be an X509 instance")
ctx.issuer_cert = issuer._x509
if subject is not None:
if not isinstance(subject, X509):
raise TypeError("subject must be an X509 instance")
ctx.subject_cert = subject._x509
if critical:
# There are other OpenSSL APIs which would let us pass in critical
# separately, but they're harder to use, and since value is already
# a pile of crappy junk smuggling a ton of utterly important
# structured data, what's the point of trying to avoid nasty stuff
# with strings? (However, X509V3_EXT_i2d in particular seems like
# it would be a better API to invoke. I do not know where to get
# the ext_struc it desires for its last parameter, though.)
value = b"critical," + value
extension = _lib.X509V3_EXT_nconf(_ffi.NULL, ctx, type_name, value)
if extension == _ffi.NULL:
_raise_current_error()
self._extension = _ffi.gc(extension, _lib.X509_EXTENSION_free)La différence évidente est que la version api: python accepte subject 和 issuer comme paramètre de surcharge. La version Go ne le fait pas.
Les différences de mise en œuvre sont les suivantes :
- Appel en python
x509v3_ext_nconf x509v3_ext_conf_nidAppelé en go Les deux fonctions peuvent être trouvées sur github.
Je pense qu'il n'est pas possible d'ajouter l'extension skid lors de l'utilisation de openspacemonkey/go-openssl avec la signature ca.
Il semble que le seul moyen soit d'utiliser manuellement les liaisons c et de "le faire comme python".
Solution de contournement
J'ai implémenté une solution de contournement intelligente pour ajouter un dérapage et un identifiant de clé d'autorité. Le certificat généré est valide. Cependant, comme les membres certificate 结构体的 x *c.x509 ne sont pas exportés, le seul moyen d'y accéder est d'utiliser des pointeurs et des casts non sécurisés.
Ce n'est pas une approche recommandée, mais une façon de le faire jusqu'à la mise à jour spacemonkey/go (dont je doute qu'elle se produise de si tôt).
func addAuthorityKeyIdentifier(c *openssl.Certificate) error {
var ctx C.X509V3_CTX
C.X509V3_set_ctx(&ctx, nil, nil, nil, nil, 0)
// this is ugly and very unsafe!
cx509 := *(**C.X509)(unsafe.Pointer(c))
cx509Issuer := cx509
if c.Issuer != nil {
cx509Issuer = *(**C.X509)(unsafe.Pointer(c.Issuer))
}
ctx.issuer_cert = cx509Issuer
cExtName := C.CString("authorityKeyIdentifier")
defer C.free(unsafe.Pointer(cExtName))
cExtValue := C.CString("keyid:always,issuer:always")
defer C.free(unsafe.Pointer(cExtValue))
extension := C.X509V3_EXT_nconf(nil, &ctx, cExtName, cExtValue)
if extension == nil {
return errors.New("failed to set 'authorityKeyIdentifier' extension")
}
defer C.X509_EXTENSION_free(extension)
addResult := C.X509_add_ext(cx509, extension, -1)
if addResult == 0 {
return errors.New("failed to set 'authorityKeyIdentifier' extension")
}
return nil
}
func addSKIDExtension(c *openssl.Certificate) error {
var ctx C.X509V3_CTX
C.X509V3_set_ctx(&ctx, nil, nil, nil, nil, 0)
// this is ugly and very unsafe!
cx509 := *(**C.X509)(unsafe.Pointer(c))
_ = cx509
ctx.subject_cert = cx509
_ = ctx
cExtName := C.CString("subjectKeyIdentifier")
defer C.free(unsafe.Pointer(cExtName))
cExtValue := C.CString("hash")
defer C.free(unsafe.Pointer(cExtValue))
extension := C.X509V3_EXT_nconf(nil, &ctx, cExtName, cExtValue)
if extension == nil {
return errors.New("failed to set 'subjectKeyIdentifier' extension")
}
defer C.X509_EXTENSION_free(extension)
// adding itself as a subject
addResult := C.X509_add_ext(cx509, extension, -1)
if addResult == 0 {
return errors.New("failed to set 'subjectKeyIdentifier' extension")
}
return nil
}Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
AI Hentai Generator
Générez AI Hentai gratuitement.
Article chaud
Outils chauds
Bloc-notes++7.3.1
Éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Sujets chauds
GO Language Pack Import: Quelle est la différence entre le soulignement et sans soulignement?
Mar 03, 2025 pm 05:17 PM
Cet article explique les mécanismes d'importation des packages de Go: les importations nommées (par exemple, importation & quot; fmt & quot;) et les importations vierges (par exemple, importation _ & quot; fmt & quot;). Les importations nommées rendent le contenu du package accessible, tandis que les importations vierges ne font que l'exécuter t
Comment mettre en œuvre le transfert d'informations à court terme entre les pages du cadre Beego?
Mar 03, 2025 pm 05:22 PM
Cet article explique la fonction Newflash () de Beego pour le transfert de données inter-pages dans les applications Web. Il se concentre sur l'utilisation de NewFlash () pour afficher les messages temporaires (succès, erreur, avertissement) entre les contrôleurs, en tirant parti du mécanisme de session. Limiter
Comment convertir la liste des résultats de la requête MySQL en une tranche de structure personnalisée dans le langage Go?
Mar 03, 2025 pm 05:18 PM
Cet article détaille la conversion efficace de la requête MySQL Resulte en tranches de structure GO. Il met l'accent sur l'utilisation de la méthode de numérisation de la base de données / SQL pour des performances optimales, en évitant l'analyse manuelle. Meilleures pratiques pour la cartographie des champs struct à l'aide de balises DB et de robus
Comment écrire des objets et des talons simulés pour les tests en Go?
Mar 10, 2025 pm 05:38 PM
Cet article montre la création de simulations et de talons dans GO pour les tests unitaires. Il met l'accent sur l'utilisation des interfaces, fournit des exemples d'implémentations simulées et discute des meilleures pratiques telles que la tenue de simulations concentrées et l'utilisation de bibliothèques d'assertion. L'articl
Comment puis-je définir des contraintes de type personnalisé pour les génériques en Go?
Mar 10, 2025 pm 03:20 PM
Cet article explore les contraintes de type personnalisé de Go pour les génériques. Il détaille comment les interfaces définissent les exigences de type minimum pour les fonctions génériques, améliorant la sécurité du type et la réutilisabilité du code. L'article discute également des limitations et des meilleures pratiques
Comment écrire des fichiers dans GO Language de manière pratique?
Mar 03, 2025 pm 05:15 PM
Cet article détaille la rédaction de fichiers efficace dans GO, en comparant OS.WriteFile (adapté aux petits fichiers) avec OS.OpenFile et Buffered Writes (optimal pour les fichiers volumineux). Il met l'accent sur la gestion robuste des erreurs, l'utilisation de différer et la vérification des erreurs spécifiques.
Comment rédigez-vous des tests unitaires en Go?
Mar 21, 2025 pm 06:34 PM
L'article traite des tests d'unité d'écriture dans GO, couvrant les meilleures pratiques, des techniques de moquerie et des outils pour une gestion efficace des tests.
Comment puis-je utiliser des outils de traçage pour comprendre le flux d'exécution de mes applications GO?
Mar 10, 2025 pm 05:36 PM
Cet article explore l'utilisation d'outils de traçage pour analyser le flux d'exécution des applications GO. Il traite des techniques d'instrumentation manuelles et automatiques, de comparaison d'outils comme Jaeger, Zipkin et OpenTelelemetry, et mettant en évidence une visualisation efficace des données
