OpenSsl 无法读取 DER 格式的证书答案

【问题标题】：OpenSsl cannot read DER formatted certificateOpenSsl 无法读取 DER 格式的证书
【发布时间】：2019-06-07 15:08:31
【问题描述】：

更新

我的解决方案基于this 和this 的答案。

背景

我正在尝试读取 DER 格式的证书文件并尝试对其进行验证。

我的证书是DER 格式。我已经通过以下方式确认了这一点：

使用openssl 命令行：

openssl x509 -text -noout -inform DER -in Cert.cer：显示证书
openssl x509 -text -noout -in Cert.cer：显示unable to load certificate
openssl x509 -inform der -in Cert.cer -out Cert.pem：将 DER 转换为 PEM

我正在使用下面的代码来阅读：

static std::vector<char> ReadAllBytes(char const* filename)
{
    std::cout << "in ReadAllBytes(" << filename << ")" << std::endl;
    std::ifstream stream(filename, std::ios::in | std::ios::binary);
    std::vector<char> contents((std::istreambuf_iterator<char>(stream)), std::istreambuf_iterator<char>());

    std::cout << "out ReadAllBytes" << std::endl;

    return contents;
}

int main(int argc, char **argv)
{
    OpenSSL_add_all_algorithms();

    auto readBytes = ReadAllBytes("Cert.cer");
    std::cout << "after ReadAllBytes, read size:" << readBytes.size() << std::endl;
    BIO *bio_mem = BIO_new(BIO_s_mem());
    BIO_puts(bio_mem, readBytes.data());
    X509 * x509 = d2i_X509_bio(bio_mem, NULL);

    // PEM format
    //X509 *x509 = PEM_read_bio_X509(bio_mem, NULL, NULL, NULL);

    if(x509 == NULL){
        unsigned int errCode = ERR_get_error();

        printf("\nError: %s\n", ERR_error_string(errCode, NULL));
        printf("\nLib: %s\n", ERR_lib_error_string(errCode));
        printf("\nFunc: %s\n", ERR_func_error_string(errCode));
        printf("\nReason: %s\n", ERR_reason_error_string(errCode));
    }

    BIO_free(bio_mem);
    X509_free(x509);
}

输出：

in ReadAllBytes(Cert.cer)
out ReadAllBytes
after ReadAllBytes, read size:1033

Error: error:0D06B08E:lib(13):func(107):reason(142)

Lib: (null)

Func: (null)

Reason: (null)

调用ERR_load_crypto_strings();后更新输出：

Error: error:0D06B08E:asn1 encoding routines:ASN1_D2I_READ_BIO:not enough data

Lib: asn1 encoding routines

Func: ASN1_D2I_READ_BIO

Reason: not enough data

问题

d2i_X509_bio(bio_mem, NULL) 返回NULL。

转换后我已成功读取 PEM 格式的证书：X509 *x509 = PEM_read_bio_X509(bio_mem, NULL, NULL, NULL);

问题

我的代码中是否有我遗漏的错误？
如何使用 openssl 读取 DER 格式的 x509 证书文件？

【问题讨论】：

我不知道你为什么要在内存生物中跳槽，BIO_puts 看起来完全不适合那个注释。你为什么不直接使用 d2i_x509_fp 来对抗从 fopen 返回的 FILE* ？
不只是ERR_error_string()给出的错误代码看来你必须调用ERR_load_crypto_strings();（“OpenSSL错误字符串应该通过调用ERR_load_crypto_strings来加载，或者对于SSL应用程序，首先是SSL_load_error_strings。如果没有为给定的错误代码注册文本字符串，则错误字符串将包含数字代码。"来自openssl.org/docs/man1.0.2/crypto/ERR_error_string.html)
请看我的更新。您能否提供有关内存生物和BIO_puts 的更多详细信息？我有点失落。至于FILE*和d2i_x509_fp，我会试一试。但我看不出它有什么帮助，我已经有文件字节了。
您可能需要在写入 BIO_MEM 后将其倒回为 0；您可能只是坐在数据的末尾。
@bartonjs 关于如何在不破坏其内容的情况下倒带BIO_MEM 的任何想法？ OpenSSL documentation 在 BUG 下陈述了类似的事情。

标签： c++ openssl pem der asn1

【解决方案1】：

看起来您的问题是您将数据块作为字符串传递。

BIO_puts（放置字符串）复制到第一个零值字节。奇怪的是，这在您的证书中间的某个地方，这就是为什么您得到“数据不足”的原因（DER 长度值最终大于 BIO 数据的长度）。（如果您的证书没有零，那么它会读得太远并且复制太多；真的小心调用接受指针但不接受长度的函数。

BIO_write，另一方面，写入指定数量的数据。

所以你想要BIO_write(bio_mem, readBytes.data(), readBytes.size())，而不是BIO_puts(bio_mem, readBytes.data())。

从技术上讲，您应该循环写入BIO_write，检查返回值（它接受多少字节进行写入），但BIO_MEM 总是在一次调用中严重失败或成功。

（原来BIO_MEM不是流（有位置的数据段）而是管道（有读位置和写位置的数据段），所以写完后不需要倒回给它。）

【讨论】：