OpenSSL

简介
安装/配置
预定义常量
密钥/证书参数
证书验证
OpenSSL 函数
- openssl_cipher_iv_length — 获取密码 iv 长度
- openssl_cipher_key_length — 获取密码密钥长度
- openssl_cms_decrypt — 解密 CMS 消息
- openssl_cms_encrypt — 加密 CMS 消息
- openssl_cms_read — 将 CMS 文件导出到 PEM 证书数组
- openssl_cms_sign — 签署文件
- openssl_cms_verify — 验证 CMS 签名
- openssl_csr_export — 将 CSR 导出为字符串
- openssl_csr_export_to_file — 将 CSR 导出到文件
- openssl_csr_get_public_key — 返回 CSR 的公钥
- openssl_csr_get_subject — 返回 CSR 的主题
- openssl_csr_new — 生成 CSR
- openssl_csr_sign — 使用另一个证书（或自身）签署 CSR 并生成证书
- openssl_decrypt — 解密数据
- openssl_dh_compute_key — 为远程 DH 公钥的公钥值和本地 DH 密钥计算共享密钥
- openssl_digest — 计算摘要
- openssl_encrypt — 加密数据
- openssl_error_string — 返回 openSSL 错误消息
- openssl_free_key — 释放密钥资源
- openssl_get_cert_locations — 获取可用的证书位置
- openssl_get_cipher_methods — 获取可用的密码方法
- openssl_get_curve_names — 获取 ECC 可用的曲线名称列表
- openssl_get_md_methods — 获取可用的摘要方法
- openssl_get_privatekey — openssl_pkey_get_private 的别名
- openssl_get_publickey — openssl_pkey_get_public 的别名
- openssl_open — 打开密封数据
- openssl_pbkdf2 — 生成 PKCS5 v2 PBKDF2 字符串
- openssl_pkcs12_export — 将兼容 PKCS#12 的证书存储文件导出到变量
- openssl_pkcs12_export_to_file — 导出兼容 PKCS#12 的证书存储文件
- openssl_pkcs12_read — 将 PKCS#12 证书存储解析为数组
- openssl_pkcs7_decrypt — 解密 S/MIME 加密的消息
- openssl_pkcs7_encrypt — 加密 S/MIME 消息
- openssl_pkcs7_read — 将 PKCS7 文件导出到 PEM 证书数组
- openssl_pkcs7_sign — 签署 S/MIME 消息
- openssl_pkcs7_verify — 验证 S/MIME 签署的消息的签名
- openssl_pkey_derive — 为远程和本地 DH 或 ECDH 密钥的公钥值计算共享密钥
- openssl_pkey_export — 将密钥的可导出表示形式获取到字符串中
- openssl_pkey_export_to_file — 将密钥的可导出表示形式获取到文件中
- openssl_pkey_free — 释放私钥
- openssl_pkey_get_details — 返回包含密钥详细信息的数组
- openssl_pkey_get_private — 获取私钥
- openssl_pkey_get_public — 从证书中提取公钥并准备使用
- openssl_pkey_new — 生成新的私钥
- openssl_private_decrypt — 使用私钥解密数据
- openssl_private_encrypt — 使用私钥加密数据
- openssl_public_decrypt — 使用公钥解密数据
- openssl_public_encrypt — 使用公钥加密数据
- openssl_random_pseudo_bytes — 生成伪随机字节字符串
- openssl_seal — 密封（加密）数据
- openssl_sign — 生成签名
- openssl_spki_export — 导出有效的 PEM 格式的公钥签署的公钥和质询
- openssl_spki_export_challenge — 导出与签署的公钥和质询关联的质询
- openssl_spki_new — 生成新的签署的公钥和质询
- openssl_spki_verify — 验证签署的公钥和质询
- openssl_verify — 验证签名
- openssl_x509_check_private_key — 检查私钥是否对应于证书
- openssl_x509_checkpurpose — 验证证书是否可以用于特定目的
- openssl_x509_export — 将证书导出为字符串
- openssl_x509_export_to_file — 将证书导出到文件
- openssl_x509_fingerprint — 计算给定 X.509 证书的指纹或摘要
- openssl_x509_free — 释放证书资源
- openssl_x509_parse — 解析 X509 证书并将信息作为数组返回
- openssl_x509_read — 解析 X.509 证书并返回其对象
- openssl_x509_verify — 验证 x509 证书的数字签名是否与公钥匹配
OpenSSLCertificate — OpenSSLCertificate 类
OpenSSLCertificateSigningRequest — OpenSSLCertificateSigningRequest 类
OpenSSLAsymmetricKey — OpenSSLAsymmetricKey 类

改进此页面

了解如何改进此页面 • 提交拉取请求 • 报告错误

＋添加注释

用户贡献的注释 2 个注释

上

下

bdh dot hall at gmail dot com ¶

15 年前

我很难找到关于使用私钥/公钥系统进行异步加密/解密的帮助，而我需要它来创建使用循环计费的信用卡模块。

你要是用普通的“同步”或双向加密，那真是傻了，所以整个 mcrypt 库都不会有用。

但事实证明，OpenSSL 非常容易使用……但是它的文档非常少，以至于看起来它会难以置信地难用。

所以我就把我一天的破解成果分享给大家——希望对你有用！

<?php

if (isset($_SERVER['HTTPS']) )
{
 echo "SECURE: 此页面通过安全连接访问。<br><br>";
}
else
{
 echo "UNSECURE: 此页面通过不安全连接访问。<br><br>";
}

// 创建密钥对
$res=openssl_pkey_new();

// 获取私钥
openssl_pkey_export($res, $privatekey);

// 获取公钥
$publickey=openssl_pkey_get_details($res);
$publickey=$publickey["key"];

echo "私钥：<BR>$privatekey<br><br>公钥：<BR>$publickey<BR><BR>";

$cleartext = '1234 5678 9012 3456';

echo "明文：<br>$cleartext<BR><BR>";

openssl_public_encrypt($cleartext, $crypttext, $publickey);

echo "密文：<br>$crypttext<BR><BR>";

openssl_private_decrypt($crypttext, $decrypted, $privatekey);

echo "解密后的文本：<BR>$decrypted<br><br>";
?>

感谢文档中其他贡献者让这一过程不那么痛苦。

请注意，您需要使用这些函数来生成一次密钥 - 将您的私钥离线保存以进行解密，并将您的公钥放在您的脚本/配置文件中。如果您的数据被泄露，您无需担心加密后的内容或公钥，真正重要的是私钥和明文。

祝你好运！

上

下

-4

koen dot thomeer at pubmed dot be ¶

15 年前

要使用 OCSP 检查客户端证书的状态，您可以使用此脚本

<?php
// 用户变量：
$dir = '/path/to/temp/'; // Apache 可访问的目录 (chmod 777)。
$RootCA = '/path/to/Root.cer'; // 指向 PEM 格式的根 CA。
$OCSPUrl = 'http://ocsp.url'; // 指向 OCSP URL
// 脚本：
$a = rand(1000,99999); // 如果您在一秒钟内预计会有更多页面点击，则需要此项！
file_put_contents($dir.$a.'cert_i.pem', $_SERVER['SSL_CLIENT_CERT_CHAIN_0']); // 发行人证书。
file_put_contents($dir.$a.'cert_c.pem', $_SERVER['SSL_CLIENT_CERT']); // 客户端 (身份验证) 证书。
$output = shell_exec('openssl ocsp -CAfile '.$RootCA.' -issuer '.$dir.$a.'cert_i.pem -cert '.$dir.$a.'cert_c.pem -url '.$OCSPUrl);
$output2 = preg_split('/[\r\n]/', $output);
$output3 = preg_split('/: /', $output2[0]);
$ocsp = $output3[1];
echo "OCSP 状态：".$ocsp; // 将为 "良好"、"已吊销" 或 "未知"
unlink($dir.$a.'cert_i.pem');
unlink($dir.$a.'cert_c.pem');
?>

它可以改进，但这只是一个开始！

通常，您可以从客户端证书中提取 ocsp url。此外，OCSP 请求仅包含发行人名称的哈希、发行人密钥的哈希以及客户端证书的序列号。所有这三个都可以直接从客户端证书中提取。

＋添加注释