通过OpenSSL获取证书扩展属性之一：“基本约束”

转载出处：http://blog.csdn.net/yyfzy/article/details/47952817

前面通过一系列文章，讲述了如使用OpenSSL解析证书的基本项，现在我们来看看如何获取证书的扩展项。

      目前CA中心颁发的证书，都有一些扩展项属性，用来限定证书的用途、提供颁发者信息、以及CRL的下载地址等等。在下图中，红色区域内的属性都为证书的扩展属性。

      在OpenSSL中，提供了函数X509_get_ext_d2i()，可以通过指定属性的NID来返回对应的结构体。该函数的定义如下：

void    *   X509_get_ext_d2i(X509 *x, int nid, int *crit, int *idx);

其中：

第一个参数x，为证书结构体X509指针；

第二个参数nid，为要获取的扩展对象NID，“基本约束”的NID为NID_basic_constraints；

第三个参数crit，为返回参数，表明该扩展属性是否为关键扩展；

第四个参数idx，为可选返回参数，表明该扩展的序号，可以传NULL。

在OpenSSL中，“基本约束”扩展属性的结构体定义如下：

typedef struct BASIC_CONSTRAINTS_st {
int ca;
ASN1_INTEGER *pathlen;
} BASIC_CONSTRAINTS;

其中：

第一个成员ca，表明该证书可否作为CA证书签发下一级证书，一般用户证书该值都为0。

第二个参数pathlen，只有当ca=1时才有效，表明具体可以签发的证书级别。

使用OpenSSL获取“基本约束”扩展属性的完整函数代码如下：

ULONG COpenSSLCertificate::_GetExtBasicConstraints(X509 *pX509Cert, LPSTR lpscProperty, ULONG* pulLen)
{
    int crit = 0;
    char value[512] = {0};
    BASIC_CONSTRAINTS *bcons = NULL;

    if (!m_pX509)
    {
        return CERT_ERR_INVILIDCALL;
    }
    if (!pulLen)
    {
        return CERT_ERR_INVALIDPARAM;
    }

    bcons = (BASIC_CONSTRAINTS*)X509_get_ext_d2i(m_pX509, NID_basic_constraints, &crit, NULL);
    if (!bcons)
    {
        return CERT_ERR_ATTR_NOTEXIST;
    }

    if (!bcons->ca)
    {
        strcat_s(value, 512, "Subject Type=End Entity; ");
        strcat_s(value, 512, "Path Length Constraint=None");
    }
    else
    {
        char temp[128] = {0};
        sprintf_s(temp, 128, "Path Length Constraint=%d", bcons->pathlen);
        strcat_s(value, 512, "Subject Type=CA; ");
        strcat_s(value, 512, temp);
    }
    BASIC_CONSTRAINTS_free(bcons);

    if (!lpscProperty)
    {
        *pulLen = strlen(value) + 1;
    }
    if (*pulLen < (strlen(value) + 1))
    {
        return CERT_ERR_BUFFER_TOO_SMALL;
    }
    strcpy_s(lpscProperty, *pulLen, value);

    return CERT_ERR_OK;
}