OpenSsl не может прочитать форматированный сертификат DER

Question

Обновление

Я основал свое решение на этом и этом ответах.

Фон

Я пытаюсь прочитать файл сертификата в формате DER и проверить его.

Мой сертификат имеет формат DER. Я подтвердил это:

Использование openssl командной строки:

• openssl x509 -text -noout -inform DER -in Cert.cer: отображает сертификат

• openssl x509 -text -noout -in Cert.cer: отображает unable to load certificate

• openssl x509 -inform der -in Cert.cer -out Cert.pem: преобразование DER в PEM

Я использую следующий код для чтения:

static std::vector<char> ReadAllBytes(char const* filename)
{
    std::cout << "in ReadAllBytes(" << filename << ")" << std::endl;
    std::ifstream stream(filename, std::ios::in | std::ios::binary);
    std::vector<char> contents((std::istreambuf_iterator<char>(stream)), std::istreambuf_iterator<char>());

    std::cout << "out ReadAllBytes" << std::endl;

    return contents;
}

int main(int argc, char **argv)
{
    OpenSSL_add_all_algorithms();

    auto readBytes = ReadAllBytes("Cert.cer");
    std::cout << "after ReadAllBytes, read size:" << readBytes.size() << std::endl;
    BIO *bio_mem = BIO_new(BIO_s_mem());
    BIO_puts(bio_mem, readBytes.data());
    X509 * x509 = d2i_X509_bio(bio_mem, NULL);

    // PEM format
    //X509 *x509 = PEM_read_bio_X509(bio_mem, NULL, NULL, NULL);

    if(x509 == NULL){
        unsigned int errCode = ERR_get_error();

        printf("\nError: %s\n", ERR_error_string(errCode, NULL));
        printf("\nLib: %s\n", ERR_lib_error_string(errCode));
        printf("\nFunc: %s\n", ERR_func_error_string(errCode));
        printf("\nReason: %s\n", ERR_reason_error_string(errCode));
    }

    BIO_free(bio_mem);
    X509_free(x509);
}

Выход:

in ReadAllBytes(Cert.cer)
out ReadAllBytes
after ReadAllBytes, read size:1033

Error: error:0D06B08E:lib(13):func(107):reason(142)

Lib: (null)

Func: (null)

Reason: (null)

Обновлен вывод после вызова ERR_load_crypto_strings();:

Error: error:0D06B08E:asn1 encoding routines:ASN1_D2I_READ_BIO:not enough data

Lib: asn1 encoding routines

Func: ASN1_D2I_READ_BIO

Reason: not enough data

Выпуск

d2i_X509_bio(bio_mem, NULL) возвращает NULL.

Я успешно прочитал сертификат в формате PEM после преобразования: X509 *x509 = PEM_read_bio_X509(bio_mem, NULL, NULL, NULL);

Вопросы

• Что-то не так в моем коде, который я пропустил?

• Как я могу прочитать отформатированный DER файл сертификата x509 с помощью openssl?

Answer 1

Похоже, ваша проблема в том, что вы передали большой двоичный объект данных в виде строки.

BIO_puts (положить строку) копирует до первого байта с нулевым значением. Скорее всего, это где-то посередине вашего сертификата, поэтому вы получаете «недостаточно данных» (значение длины DER в конечном итоге превышает длину данных BIO). (Если ваш сертификат не имеет нулей, то он будет читать слишком много и копировать слишком много; будьте действительно осторожно вызывая функции, которые принимают указатели, но не длину).

BIO_write, с другой стороны, записывает указанный объем данных.

Так что вместо BIO_puts(bio_mem, readBytes.data()) вы хотите BIO_write(bio_mem, readBytes.data(), readBytes.size()).

Технически, вы должны писать в BIO_write в цикле, проверяя возвращаемое значение (сколько байт было принято для записи), но BIO_MEM всегда либо критически завершается неудачей, либо завершается успешно за один вызов.

(Оказывается, что BIO_MEM не поток (сегмент данных с позицией), а канал (сегмент данных с позицией чтения и позицией записи), поэтому его не нужно перематывать после записи к нему.)