Maison >développement back-end >Golang >Lors de la signature d'un certificat, l'identifiant de la clé d'autorisation est copié dans le SKID
Lors de la signature d'un certificat, l'identifiant de la clé d'autorisation est copié dans le SKID
- PHPzavant
- 2024-02-09 13:27:32902parcourir
l'éditeur php Strawberry a souligné lors de l'introduction du certificat de signature que l'identifiant de clé autorisé (SKID) joue un rôle important dans le processus de signature. Lorsqu'un certificat est signé, le SKID est copié dans le certificat et identifie la clé autorisée du certificat. L'existence de cet identifiant peut contribuer à garantir l'authenticité et la légalité du certificat, et également faciliter la vérification et la gestion ultérieures du certificat. La copie du SKID est une étape nécessaire lors de la signature d'un certificat et joue un rôle important dans l'utilisation et la maintenance du certificat.
Contenu de la question
J'essaie de signer un certificat en utilisant csr et spacemonkeygo/openssl wrapper.
La commande openssl de la console pour signer le certificat fonctionne comme prévu et j'obtiens un certificat valide.
openssl x509 -req -days 365 -in cert_client.csr -ca ca/root.crt -cakey ca/root.key -set_serial 10101 -out cert_client.crt -extfile ca/extensions.cnf
Comme le montre la capture d'écran, les keyid du dérapage et de l'émetteur sont différents.
Cependant, mon code en go fournit le mauvais certificat, où le dérapage contient la valeur exacte du keyid qui a émis le certificat. Cela entraîne la copie d'une valeur non valide pour « Émetteur » dans « Authority Key Identifier » : puisque le dérapage est le même que le keyid de l'émetteur, il « pense » que le certificat est auto-émis.
package main
import (
"github.com/spacemonkeygo/openssl"
"math/big"
"os"
"time"
)
func main() {
crtfilepath := filepath("ca/root.crt")
keyfilepath := filepath("ca/root.key")
certca, privatekeyca, err := getrootca(pathcert(crtfilepath), pathkey(keyfilepath))
if err != nil {
panic(err)
}
serialnumber := big.newint(10101)
country := "ru"
organization := "some organization"
commonname := "commonname"
expirationdate := time.now().adddate(1, 0, 0)
certinfo := &openssl.certificateinfo{
serial: serialnumber,
expires: expirationdate.sub(time.now()),
commonname: commonname,
// will fail if these are empty or not initialized
country: country,
organization: organization,
}
// just for example. publickey is received from csr
privatekeycert, err := openssl.generatersakey(2048)
if err != nil {
panic(err)
}
newcert, err := openssl.newcertificate(certinfo, openssl.publickey(privatekeycert))
if err != nil {
panic(err)
}
err = newcert.setversion(openssl.x509_v3)
if err != nil {
panic(err)
}
// (?) must be called before adding extensions
err = newcert.setissuer(certca)
if err != nil {
panic(err)
}
err = newcert.addextension(openssl.nid_basic_constraints,
"critical,ca:false")
if err != nil {
panic(err)
}
err = newcert.addextension(openssl.nid_subject_key_identifier,
"hash")
if err != nil {
panic(err)
}
err = newcert.addextension(openssl.nid_authority_key_identifier,
"keyid:always,issuer:always")
if err != nil {
panic(err)
}
err = newcert.sign(privatekeyca, openssl.evp_sha256)
if err != nil {
panic(err)
}
pembytes, err := newcert.marshalpem()
if err != nil {
panic(err)
}
err = os.writefile("generated.crt", pembytes, os.filemode(0644))
if err != nil {
panic(err)
}
print("done")
}
type filepath string
type pathcert string
type pathkey string
func getrootca(pathcert pathcert, pathkey pathkey) (*openssl.certificate, openssl.privatekey, error) {
capublickeyfile, err := os.readfile(string(pathcert))
if err != nil {
return nil, nil, err
}
certca, err := openssl.loadcertificatefrompem(capublickeyfile)
if err != nil {
return nil, nil, err
}
caprivatekeyfile, err := os.readfile(string(pathkey))
if err != nil {
return nil, nil, err
}
privatekeyca, err := openssl.loadprivatekeyfrompem(caprivatekeyfile)
if err != nil {
return nil, nil, err
}
return certca, privatekeyca, nil
}
(Celui généré est correct)
Si je n'appelle pas setissuer, le dérapage est nouvellement généré, mais le certificat généré apparaît toujours comme "invalide".
Qu'est-ce que je fais de mal dans mon code ?
Mise à jour :
J'ai comparé l'implémentation en ajoutant des extensions pour 2 wrappers : spacemonkey/go 和 pyopenssl.
Aller sur :
// add an extension to a certificate.
// extension constants are nid_* as found in openssl.
func (c *certificate) addextension(nid nid, value string) error {
issuer := c
if c.issuer != nil {
issuer = c.issuer
}
var ctx c.x509v3_ctx
c.x509v3_set_ctx(&ctx, c.x, issuer.x, nil, nil, 0)
ex := c.x509v3_ext_conf_nid(nil, &ctx, c.int(nid), c.cstring(value))
if ex == nil {
return errors.new("failed to create x509v3 extension")
}
defer c.x509_extension_free(ex)
if c.x509_add_ext(c.x, ex, -1) <= 0 {
return errors.new("failed to add x509v3 extension")
}
return nil
}
python (quelques commentaires omis) :
# X509Extension::__init__
def __init__(
self,
type_name: bytes,
critical: bool,
value: bytes,
subject: Optional["X509"] = None,
issuer: Optional["X509"] = None,
) -> None:
ctx = _ffi.new("X509V3_CTX*")
# A context is necessary for any extension which uses the r2i
# conversion method. That is, X509V3_EXT_nconf may segfault if passed
# a NULL ctx. Start off by initializing most of the fields to NULL.
_lib.X509V3_set_ctx(ctx, _ffi.NULL, _ffi.NULL, _ffi.NULL, _ffi.NULL, 0)
# We have no configuration database - but perhaps we should (some
# extensions may require it).
_lib.X509V3_set_ctx_nodb(ctx)
# Initialize the subject and issuer, if appropriate. ctx is a local,
# and as far as I can tell none of the X509V3_* APIs invoked here steal
# any references, so no need to mess with reference counts or
# duplicates.
if issuer is not None:
if not isinstance(issuer, X509):
raise TypeError("issuer must be an X509 instance")
ctx.issuer_cert = issuer._x509
if subject is not None:
if not isinstance(subject, X509):
raise TypeError("subject must be an X509 instance")
ctx.subject_cert = subject._x509
if critical:
# There are other OpenSSL APIs which would let us pass in critical
# separately, but they're harder to use, and since value is already
# a pile of crappy junk smuggling a ton of utterly important
# structured data, what's the point of trying to avoid nasty stuff
# with strings? (However, X509V3_EXT_i2d in particular seems like
# it would be a better API to invoke. I do not know where to get
# the ext_struc it desires for its last parameter, though.)
value = b"critical," + value
extension = _lib.X509V3_EXT_nconf(_ffi.NULL, ctx, type_name, value)
if extension == _ffi.NULL:
_raise_current_error()
self._extension = _ffi.gc(extension, _lib.X509_EXTENSION_free)
La différence évidente est que la version api: python accepte subject 和 issuer comme paramètre de surcharge. La version Go ne le fait pas.
Les différences de mise en œuvre sont les suivantes :
- Appel en python
x509v3_ext_nconf -
x509v3_ext_conf_nidAppelé en go Les deux fonctions peuvent être trouvées sur github.
Je pense qu'il n'est pas possible d'ajouter l'extension skid lors de l'utilisation de openspacemonkey/go-openssl avec la signature ca.
Il semble que le seul moyen soit d'utiliser manuellement les liaisons c et de "le faire comme python".
Solution de contournement
J'ai implémenté une solution de contournement intelligente pour ajouter un dérapage et un identifiant de clé d'autorité. Le certificat généré est valide. Cependant, comme les membres certificate 结构体的 x *c.x509 ne sont pas exportés, le seul moyen d'y accéder est d'utiliser des pointeurs et des casts non sécurisés.
Ce n'est pas une approche recommandée, mais une façon de le faire jusqu'à la mise à jour spacemonkey/go (dont je doute qu'elle se produise de si tôt).
func addAuthorityKeyIdentifier(c *openssl.Certificate) error {
var ctx C.X509V3_CTX
C.X509V3_set_ctx(&ctx, nil, nil, nil, nil, 0)
// this is ugly and very unsafe!
cx509 := *(**C.X509)(unsafe.Pointer(c))
cx509Issuer := cx509
if c.Issuer != nil {
cx509Issuer = *(**C.X509)(unsafe.Pointer(c.Issuer))
}
ctx.issuer_cert = cx509Issuer
cExtName := C.CString("authorityKeyIdentifier")
defer C.free(unsafe.Pointer(cExtName))
cExtValue := C.CString("keyid:always,issuer:always")
defer C.free(unsafe.Pointer(cExtValue))
extension := C.X509V3_EXT_nconf(nil, &ctx, cExtName, cExtValue)
if extension == nil {
return errors.New("failed to set 'authorityKeyIdentifier' extension")
}
defer C.X509_EXTENSION_free(extension)
addResult := C.X509_add_ext(cx509, extension, -1)
if addResult == 0 {
return errors.New("failed to set 'authorityKeyIdentifier' extension")
}
return nil
}
func addSKIDExtension(c *openssl.Certificate) error {
var ctx C.X509V3_CTX
C.X509V3_set_ctx(&ctx, nil, nil, nil, nil, 0)
// this is ugly and very unsafe!
cx509 := *(**C.X509)(unsafe.Pointer(c))
_ = cx509
ctx.subject_cert = cx509
_ = ctx
cExtName := C.CString("subjectKeyIdentifier")
defer C.free(unsafe.Pointer(cExtName))
cExtValue := C.CString("hash")
defer C.free(unsafe.Pointer(cExtValue))
extension := C.X509V3_EXT_nconf(nil, &ctx, cExtName, cExtValue)
if extension == nil {
return errors.New("failed to set 'subjectKeyIdentifier' extension")
}
defer C.X509_EXTENSION_free(extension)
// adding itself as a subject
addResult := C.X509_add_ext(cx509, extension, -1)
if addResult == 0 {
return errors.New("failed to set 'subjectKeyIdentifier' extension")
}
return nil
}Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!