Как проверить сертификат RSA в Perl

Как вы проверяете сертификат с помощью корневого сертификата, который его подписал? Я зашел так далеко:

 $root_x509 = Crypt::OpenSSL::X509->new_from_string($root_key_data, FORMAT_ASN1);
 $root_key = Crypt::OpenSSL::RSA->new_public_key($x509->pubkey());  

 $other_x509 = Crypt::OpenSSL::X509->new_from_string($other_key_data, FORMAT_ASN1);
 $other_key = Crypt::OpenSSL::RSA->new_public_key($x509->pubkey());

Хорошо, тогда что? Я не вижу очевидного $root_key->verify_certificate($other_x509); Crypt :: OpenSSL :: VerifyX509 - единственный / лучший ответ? Этот модуль проблематично скомпилировать и установить, но я продолжу в том же духе, если так будет. Но я чувствую, что что-то упускаю.

Похоже, например, что у python есть очевидный API, эквивалент которого я не вижу ни в одной из Perl-библиотек OpenSSL:

trusted_store = X509Store()
trusted_store.add_cert(trusted_root)

try:
  X509StoreContext(trusted_store, itunes_cert).verify_certificate()
except X509StoreContextError as e:
  print("iTunes certificate invalid")

Взгляните на search.cpan.org/~chrisa/Crypt-OpenSSL-VerifyX509-0.10/…

Kostia Shiian 24.03.2018 06:29

Да, я смотрел на это. Модульные тесты не проходят, они не дают очевидных сбоев, и они не проходят по-разному на разных платформах (Centos 6, Centos 7, MacOS).

Kevin G. 26.03.2018 18:14

Исходный код Crypt :: OpenSSL :: VerifyX509 выглядит довольно просто. Не могли бы вы дать больше информации о неудаче?

Kostia Shiian 29.03.2018 06:39
perl openssl rsa x509
24.03.2018 02:00
Стоит ли изучать PHP в 2026-2027 годах?
Стоит ли изучать PHP в 2026-2027 годах?
Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.
Приемы CSS-макетирования - floats и Flexbox
Приемы CSS-макетирования - floats и Flexbox
Здравствуйте, друзья-студенты! Готовы совершенствовать свои навыки веб-дизайна? Сегодня в нашем путешествии мы рассмотрим приемы CSS-верстки - в...
Тестирование функциональных ngrx-эффектов в Angular 16 с помощью Jest
В системе управления состояниями ngrx, совместимой с Angular 16, появились функциональные эффекты. Это здорово и делает код определенно легче для...
Концепция локализации и ее применение в приложениях React ⚡️
Концепция локализации и ее применение в приложениях React ⚡️
Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...
Пользовательский скаляр GraphQL
Пользовательский скаляр GraphQL
Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...
1
3
211
1

Ответы 1

После обширных исследований ближайшим к полному решению, помимо Crypt :: OpenSSL :: VerifyX509 (см. Выше), является Net :: SSLeay, который имеет целый набор низкоуровневых привязок к openssl. Недавно они добавили:

1.83 2018-01-06
    X509_STORE_CTX_new and X509_verify_cert

но документация скудна, и мне не удалось устранить связанные с этим ошибки.

Вместо этого я проверил цепочку сертификатов вручную:

  1. используйте Convert :: ASN1, чтобы перекодировать данные tbsCertificate, которые я декодировал в моем файле PKCS # 7 ("tbs" - "подписываемый")
  2. получить подпись из данных ПККС №7
  3. получить subjectPublicKeyInfo.subjectPublic Key из сертификата, который подписал этот сертификат
  4. передать это в $ signer_key = Crypt :: OpenSSL :: RSA-> new_public_key ($ signer_key_pem);
  5. а затем выполните $ signer_key-> verify ($ cert_as_signed, $ signature)

и повторите для каждого сертификата в цепочке.

Частью всего этого является проверка сроков действия и возможностей продления для каждого сертификата.

29.03.2018 20:44

Другие вопросы по теме

Подробно о зависимости оборотов в минуту
Swift (Linux): извлечь сертификаты CMS / PKCS # 7 и проверить подпись контейнера?
Создание неподписанного открытого ключа RSA с помощью openssl
Увеличить asio ssl запись части данных
Сервер Ubuntu - HANDSHAKE_FAILURE. Как правильно настроить сертификат?
Неверное количество аргументов типа при передаче openssl :: rsa :: Rsa в качестве параметра
Сбой задачи шифрования с использованием QT, Openssl, что мне делать?
Импортировать подстановочный ssl в tomcat - получение NET :: ERR_CERT_AUTHORITY_INVALID
Модуль оболочки Ansible для запуска команд несовместим с bash
Рукопожатие Openssl (SSL_accept) выполняется медленно в миллисекундах

Похожие вопросы

Создать коллекцию побитовых совпадений из целочисленного диапазона
Можно ли ограничить права на выполнение сценария Perl для вызова из другого сценария Perl?
Проблема с вызовом Perl API, который находится в JSON
Perl: как получить значение атрибута объекта
Возможно ли OCR в perl и windows?
Изменить дату в файле XML из Perl
Дамп XML :: элементы LibXML
Как предотвратить сериализацию по одному маршруту в приложении Perl Dancer?
Почему не работает автодополнение имени файла?
Проверка, являются ли файлы исполняемыми на perl