logo标签列表

如何从证书中获取签名算法?

phpopensslcertificatex509certificate
7
我希望使用PHP函数openssl_verify()来验证不同X.509证书的签名。
我已经准备好了所有所需材料(证书、$data、$signature、$pub_key_id),除了存储在证书中的签名算法

enter image description here

我的简单问题是:我如何从证书中提取签名算法?

4个回答
6
这个怎么样?
$cer = file_get_contents('certificate.cer');
$res = openssl_x509_read($cer);
openssl_x509_export($res, $out, FALSE);
$signature_algorithm = null;
if(preg_match('/^\s+Signature Algorithm:\s*(.*)\s*$/m', $out, $match)) $signature_algorithm = $match[1];
var_dump($signature_algorithm);

它生成的输出如下:
string(21) "sha1WithRSAEncryption"

您需要自己映射到OPENSSL_ALGO_SHA1

啊哈!你在使用openssl_x509_export()的可选参数“bool $notext = TRUE”。简单而聪明的解决方案。到目前为止,这是最好的答案(这并不难,因为它是唯一有效的;-)非常感谢。 - Mike
5

看看这个问题,你可以类似地做到这一点,尝试这样做:

private function GetCertSignatureAlgorithm($certSignatureBinary, $pubKeyResourceId)
{

if(false === openssl_public_decrypt($certSignatureBinary, $sigString, $pubKeyResourceId))
{
    return false;
}

if (empty($sigString) ||
    strlen($sigString) < 5)
{
    return false;
}

if (ord($sigString[0]) !== 0x30 ||
    ord($sigString[2]) !== 0x30 ||
    ord($sigString[4]) !== 0x06)
{
    return false;
}

$sigString  = substr($sigString, 4);
$len        = ord($sigString[1]);
$bytes      = 0;

if ($len & 0x80)
{
    $bytes = ($len & 0x7f);
    $len = 0;
    for ($i = 0; $i < $bytes; $i++)
    {
        $len = ($len << 8) | ord($sigString[$i + 2]);
    }
}

$oidData = substr($sigString, 2 + $bytes, $len);
$hashOid = floor(ord($oidData[0]) / 40) . '.' . ord($oidData[0]) % 40;

$value = 0;
for ($i = 1; $i < strlen($oidData); $i++)
{
    $value = $value << 7;
    $value = $value | (ord($oidData[$i]) & 0x7f);
    if (!(ord($oidData[$i]) & 0x80))
    {
        $hashOid .= '.' . $value;
        $value = 0;
    }
}

//www.iana.org/assignments/hash-function-text-names/hash-function-text-names.xml
//www.php.net/manual/en/openssl.signature-algos.php
switch($hashOid)
{
    case '1.2.840.113549.2.5':     return 'md5';
    case '1.3.14.3.2.26':          return 'sha1';
    case '2.16.840.1.101.3.4.2.1': return 'sha256';
    case '2.16.840.1.101.3.4.2.2': return 'sha384';
    case '2.16.840.1.101.3.4.2.3': return 'sha512';

    //not secure = not accepted
    //case '1.2.840.113549.2.2':     //'md2';
    //case '1.2.840.113549.2.4':     //'md4';
    //case '1.3.14.3.2.18':          //'sha';
}

throw new Exception('CertSignatureAlgorithm not found');
}
3

一种方法可能是 openssl x509 -text -noout < $certfile | grep "Signature Algorithm"

很遗憾,我只能从我的脚本中调用PHP函数。 - Mike
1

使用phpseclib,一个纯PHP X.509解析器...

<?php
include('File/X509.php');

$x509 = new File_X509();
$cert = $x509->loadX509(file_get_contents('sample.pem'));
echo $cert['signatureAlgorithm']['algorithm'];
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接