使用GmSSL v3.1.1实现SM2证书认证

1、首先使用gmssl命令生成根证书、客户端公私钥,然后使用根证书签发客户端证书;

2、然后编写代码完成认证功能,使用根证书验证客户端证书是否由自己签发,然后使用客户端证书验证客户端私钥对随机数的签名是否正确。

第一部分生成根证书和客户端证书的命令:

bash 复制代码
# 生成私钥,用于生成根证书
# gmssl 3.1.1要求必须使用密码加密私钥
gmssl sm2keygen -pass 123456 -out root.key

# 生成自签名根证书
gmssl certgen \
  -C CN \
  -ST Beijing \
  -L Beijing \
  -O MyCA \
  -OU RootCA \
  -CN RootCA \
  -days 3650 \
  -key root.key \
  -pass 123456 \
  -key_usage keyCertSign \
  -out root.crt
 
# 生成客户端公私钥
gmssl sm2keygen -pass 123456 -out client.key

# 生成客户端证书请求(CSR)
gmssl reqgen \
  -C CN \
  -ST Beijing \
  -L Beijing \
  -O MyClient \
  -OU Client \
  -CN client.example.com \
  -key client.key \
  -pass 123456 \
  -out client.csr
  
# 签发客户端证书
gmssl reqsign \
  -in client.csr \
  -days 3650 \
  -key_usage digitalSignature \
  -cacert root.crt \
  -key root.key \
  -pass 123456 \
  -out client.crt

第二部分进行客户端证书认证和签名验签的代码:

cpp 复制代码
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <gmssl/x509.h>
#include <gmssl/sm2.h>
#include <gmssl/sm3.h>
#include <gmssl/pem.h>
#include <gmssl/error.h>
#include <gmssl/base64.h>

#define ROOT_CERT_FILE   "root.crt"
#define CLIENT_CERT_FILE "client.crt"
#define CLIENT_KEY_FILE  "client.key"
#define ROOT_KEY_FILE    "root.key"
#define DATA_TO_SIGN     "This is the data to sign."

// 读取加密的SM2私钥(PKCS#8 PEM),解密并导入SM2_KEY
int load_encrypted_sm2_private_key(const char *filename, const char *password, SM2_KEY *key) {
    FILE *fp = fopen(filename, "r");
    if (!fp) {
        perror(filename);
        return -1;
    }
    if (sm2_private_key_info_decrypt_from_pem(key, password, fp) != 1) {
        fprintf(stderr, "Failed to decrypt/load private key: %s\n", filename);
        fclose(fp);
        return -1;
    }
    fclose(fp);
    return 0;
}

int main(void) {
    uint8_t root_cert[4096], client_cert[4096];
    size_t root_cert_len = 0, client_cert_len = 0;
    SM2_KEY client_key, client_pubkey;
    uint8_t dgst[32];
    uint8_t sig[SM2_MAX_SIGNATURE_SIZE];
    size_t siglen = 0;
    int ret = 1;

    // 1. 读取根证书
    FILE *fp = fopen(ROOT_CERT_FILE, "r");
    if (!fp) {
        perror("open root.crt");
        return 1;
    }
    if (x509_cert_from_pem(root_cert, &root_cert_len, sizeof(root_cert), fp) != 1) {
        fprintf(stderr, "Failed to load root certificate\n");
        fclose(fp);
        return 1;
    }
    fclose(fp);

    // 2. 读取客户端证书
    fp = fopen(CLIENT_CERT_FILE, "r");
    if (!fp) {
        perror("open client.crt");
        return 1;
    }
    if (x509_cert_from_pem(client_cert, &client_cert_len, sizeof(client_cert), fp) != 1) {
        fprintf(stderr, "Failed to load client certificate\n");
        fclose(fp);
        return 1;
    }
    fclose(fp);

    // 3. 验证客户端证书
    if (x509_cert_verify_by_ca_cert(client_cert, client_cert_len, root_cert,
                        root_cert_len, SM2_DEFAULT_ID, SM2_DEFAULT_ID_LENGTH) != 1) {
        fprintf(stderr, "Client certificate verify failed\n");
        goto end;
    }
    printf("Client certificate verified successfully.\n");

    // 4. 读取加密的客户端私钥(需要口令)
    char client_pass[7] = {0x31,0x32,0x33,0x34,0x35,0x36,0x00};
    if (load_encrypted_sm2_private_key(CLIENT_KEY_FILE, client_pass, &client_key) != 0) {
        fprintf(stderr, "Failed to load client private key\n");
        goto end;
    }

    // 5. 计算数据摘要
    const uint8_t *data = (const uint8_t *)DATA_TO_SIGN;
    size_t data_len = strlen(DATA_TO_SIGN);
    sm3_digest(data, data_len, dgst);

    // 6. 签名
    if (sm2_sign(&client_key, dgst, sig, &siglen) != 1) {
        fprintf(stderr, "SM2 sign failed\n");
        goto end;
    }
    printf("Data signed successfully.\nSignature: ");
    for (size_t i = 0; i < siglen; i++) printf("%02x", sig[i]);
    printf("\n");

    // 7. 从证书中提取公钥
    if (x509_cert_get_subject_public_key(client_cert, client_cert_len, &client_pubkey) != 1) {
        fprintf(stderr, "Failed to extract public key from client certificate\n");
        goto end;
    }

    // 8. 验签
    if (sm2_verify(&client_pubkey, dgst, sig, siglen) != 1) {
        fprintf(stderr, "Signature verification failed\n");
        goto end;
    }
    printf("Signature verified successfully.\n");
    ret = 0;

end:
    //sm2_key_cleanup(&client_key);
    //sm2_key_cleanup(&client_pubkey);
    return ret;
}

在centos7平台使用GmSSL V3.1.1亲测可行。

相关推荐
塔能物联运维2 小时前
物联网数据完整性保障的区块链应用
物联网·区块链
野蛮人6号3 小时前
力扣热题100道之73矩阵置零
算法·leetcode·矩阵
野蛮人6号3 小时前
力扣热题100道之238除自身以外数组的乘积
算法·leetcode·职场和发展
坚持编程的菜鸟3 小时前
LeetCode每日一题——缀点成线
c语言·算法·leetcode
TG_yunshuguoji3 小时前
亚马逊云代理商:怎么快速构建高安全区块链应用?
网络·安全·云计算·区块链·aws
派大星爱吃猫3 小时前
直接插入排序详解
算法·排序算法·直接插入排序
喜欢你,还有大家3 小时前
企业安全防护之——防火墙
服务器·网络·安全
滑水滑成滑头3 小时前
**发散创新:探索零信任网络下的安全编程实践**随着信息技术的飞速发展,网络安全问题日益凸显。传统的网络安全防护方式已难以
java·网络·python·安全·web安全
一只侯子3 小时前
Tuning——CC调试(适用高通)
开发语言·图像处理·笔记·学习·算法