OpenSSL

简介
安装/配置
预定义常量
密钥/证书参数
证书验证
OpenSSL 函数
- openssl_cipher_iv_length — 获取密码 iv 长度
- openssl_cipher_key_length — 获取密码密钥长度
- openssl_cms_decrypt — 解密 CMS 消息
- openssl_cms_encrypt — 加密 CMS 消息
- openssl_cms_read — 将 CMS 文件导出到 PEM 证书数组
- openssl_cms_sign — 签名文件
- openssl_cms_verify — 验证 CMS 签名
- openssl_csr_export — 将 CSR 导出为字符串
- openssl_csr_export_to_file — 将 CSR 导出到文件
- openssl_csr_get_public_key — 返回 CSR 的公钥
- openssl_csr_get_subject — 返回 CSR 的主题
- openssl_csr_new — 生成 CSR
- openssl_csr_sign — 使用另一个证书（或自身）签名 CSR 并生成证书
- openssl_decrypt — 解密数据
- openssl_dh_compute_key — 计算远程 DH 公钥的公钥值和本地 DH 密钥的共享密钥
- openssl_digest — 计算摘要
- openssl_encrypt — 加密数据
- openssl_error_string — 返回 openSSL 错误消息
- openssl_free_key — 释放密钥资源
- openssl_get_cert_locations — 检索可用的证书位置
- openssl_get_cipher_methods — 获取可用的密码方法
- openssl_get_curve_names — 获取 ECC 可用曲线名称列表
- openssl_get_md_methods — 获取可用的摘要方法
- openssl_get_privatekey — openssl_pkey_get_private 的别名
- openssl_get_publickey — openssl_pkey_get_public 的别名
- openssl_open — 打开密封数据
- openssl_pbkdf2 — 生成 PKCS5 v2 PBKDF2 字符串
- openssl_pkcs12_export — 将兼容 PKCS#12 的证书存储文件导出到变量
- openssl_pkcs12_export_to_file — 导出兼容 PKCS#12 的证书存储文件
- openssl_pkcs12_read — 将 PKCS#12 证书存储解析到数组中
- openssl_pkcs7_decrypt — 解密 S/MIME 加密的消息
- openssl_pkcs7_encrypt — 加密 S/MIME 消息
- openssl_pkcs7_read — 将 PKCS7 文件导出到 PEM 证书数组
- openssl_pkcs7_sign — 签名 S/MIME 消息
- openssl_pkcs7_verify — 验证 S/MIME 签名消息的签名
- openssl_pkey_derive — 计算远程和本地 DH 或 ECDH 密钥的公钥值的共享密钥
- openssl_pkey_export — 将密钥的可导出表示形式获取到字符串中
- openssl_pkey_export_to_file — 将密钥的可导出表示形式获取到文件中
- openssl_pkey_free — 释放私钥
- openssl_pkey_get_details — 返回包含密钥详细信息的数组
- openssl_pkey_get_private — 获取私钥
- openssl_pkey_get_public — 从证书中提取公钥并准备使用
- openssl_pkey_new — 生成新的私钥
- openssl_private_decrypt — 使用私钥解密数据
- openssl_private_encrypt — 使用私钥加密数据
- openssl_public_decrypt — 使用公钥解密数据
- openssl_public_encrypt — 使用公钥加密数据
- openssl_random_pseudo_bytes — 生成伪随机字节字符串
- openssl_seal — 密封（加密）数据
- openssl_sign — 生成签名
- openssl_spki_export — 导出有效的 PEM 格式的公钥签名公钥和质询
- openssl_spki_export_challenge — 导出与签名公钥和质询关联的质询
- openssl_spki_new — 生成新的签名公钥和质询
- openssl_spki_verify — 验证签名公钥和质询
- openssl_verify — 验证签名
- openssl_x509_check_private_key — 检查私钥是否对应于证书
- openssl_x509_checkpurpose — 验证证书是否可以用于特定用途
- openssl_x509_export — 将证书导出为字符串
- openssl_x509_export_to_file — 将证书导出到文件
- openssl_x509_fingerprint — 计算给定 X.509 证书的指纹或摘要
- openssl_x509_free — 释放证书资源
- openssl_x509_parse — 解析 X509 证书并将信息作为数组返回
- openssl_x509_read — 解析 X.509 证书并返回其对象
- openssl_x509_verify — 验证 x509 证书的数字签名是否与公钥匹配
OpenSSLCertificate — OpenSSLCertificate 类
OpenSSLCertificateSigningRequest — OpenSSLCertificateSigningRequest 类
OpenSSLAsymmetricKey — OpenSSLAsymmetricKey 类

发现问题？

了解如何改进此页面 • 提交拉取请求 • 报告错误

＋添加注释

用户贡献的注释 2 条注释

上移

下移

bdh dot hall at gmail dot com ¶

15 年前

我当时很难找到关于使用私钥/公钥系统进行异步加密/解密的帮助，而我必须为创建使用循环计费的信用卡模块而使用它。

对于这种情况，使用普通的、“同步”或双向加密简直是愚蠢的，因此整个 mcrypt 库将无济于事。

但事实证明，OpenSSL 非常易于使用……然而，它的文档如此稀少，以至于看起来它会非常困难。

因此，我与您分享我一天的破解成果 - 希望您觉得它有用！ 


<?php

if (isset($_SERVER['HTTPS']) )
{
 echo "安全连接: 此页面正在通过安全连接访问。<br><br>";
}
else
{
 echo "非安全连接: 此页面正在通过非安全连接访问。<br><br>";
}

// 创建密钥对
$res=openssl_pkey_new();

// 获取私钥
openssl_pkey_export($res, $privatekey);

// 获取公钥
$publickey=openssl_pkey_get_details($res);
$publickey=$publickey["key"];

echo "私钥:<BR>$privatekey<br><br>公钥:<BR>$publickey<BR><BR>";

$cleartext = '1234 5678 9012 3456';

echo "明文:<br>$cleartext<BR><BR>";

openssl_public_encrypt($cleartext, $crypttext, $publickey);

echo "密文:<br>$crypttext<BR><BR>";

openssl_private_decrypt($crypttext, $decrypted, $privatekey);

echo "解密后的文本:<BR>$decrypted<br><br>";
?>

非常感谢文档中其他贡献者，使这个过程不那么痛苦。

请注意，您需要使用这些函数生成密钥一次 - 将您的私钥离线保存以进行解密，并将您的公钥放在您的脚本/配置文件中。如果您的数据泄露，您无需担心加密数据或公钥，只有私钥和明文才是真正重要的。

祝您好运！

上移

下移

-4

koen dot thomeer at pubmed dot be ¶

16 年前

要使用 OCSP 检查客户端证书的状态，可以使用此脚本

<?php
// 用户变量:
$dir = '/path/to/temp/'; // Apache 可以访问的目录 (chmod 777)。
$RootCA = '/path/to/Root.cer'; // 指向 PEM 格式的根 CA。
$OCSPUrl = 'http://ocsp.url'; // 指向 OCSP URL
// 脚本:
$a = rand(1000,99999); // 如果您期望在一秒钟内有更多页面点击，则需要此项！
file_put_contents($dir.$a.'cert_i.pem', $_SERVER['SSL_CLIENT_CERT_CHAIN_0']); // 发行者证书。
file_put_contents($dir.$a.'cert_c.pem', $_SERVER['SSL_CLIENT_CERT']); // 客户端（认证）证书。
$output = shell_exec('openssl ocsp -CAfile '.$RootCA.' -issuer '.$dir.$a.'cert_i.pem -cert '.$dir.$a.'cert_c.pem -url '.$OCSPUrl);
$output2 = preg_split('/[\r\n]/', $output);
$output3 = preg_split('/: /', $output2[0]);
$ocsp = $output3[1];
echo "OCSP 状态: ".$ocsp; // 将会是 "良好"、"已吊销" 或 "未知"
unlink($dir.$a.'cert_i.pem');
unlink($dir.$a.'cert_c.pem');
?>

它可以得到改进，但这只是一个开始！

通常，您可以从客户端证书中提取 ocsp url。此外，OCSP 请求仅包含发行者名称的哈希值、发行者密钥的哈希值和客户端证书的序列号。所有三个都可以直接从客户端证书中提取。

＋添加注释