使用 Openssl 验证自签名证书

iOS的 security framework 框架前面已经介绍。这个框架提供有限的功能，使用它能做到的，比你想象的要少。笔者一直想找一个 iOS 下比较好的功能全面的安全算法库，结果却一无所获。不知道谁能介绍下这方面。

最终还是只有求助于闻名已久的 Openssl library。

Openssl 确实十分强大，然而其糟糕文档仍让人难以满意。当然，网络上使用Openssl 的例子非常多，不过能写这个的似乎都是高手，必然跟菜鸟划清界限——如果你是一个菜鸟，高手是不会跟你解释每行代码分别都是什么意思。坚信求人不如求己，钻研了许久，终于写出了点能够运行的 Code。

主要参考的来源：一是 Openssl 库中的源代码，一是这本书《Openssl编程》（赵春平 著）——说它是书可能有些勉强，因为没有得以出版（不知道出版社的编辑们看到这本书没？）。但它确实是本 Openssl 方面比较全面的介绍（难得的中文参考书），如果你想对 Openssl 有所了解，不妨把它找来看看（openssl.cn 论坛上）。

一、编译 iOS Openssl 静态库

请参考《在你的 iOS App 中使用 OpenSSL 库》。

二、在 Xcode 项目中进行设置

同上

三、使用 Openssl 验证

直接上代码：

#import <OpenSsl/x509.h>

#import <Openssl/x509v3.h>

void loadCert( NSString *, X509 *);

void printX509( X509 *);

void verity( X509 *, NSString *);

int main( int argc, char *argv[]) {

NSAutoreleasePool * pool = [[ NSAutoreleasePool alloc ] init ];

NSString *file= @"/Users/username/Desktop/client.cer" ;

// 新建一个 x509 结构

X509 *x= X509_new ();

loadCert (file,x);

printX509 (x);

// 开始验证

verity (x,file);

// 释放结构体

X509_free (x);

[pool release ];

return 0 ;

}

// 加载证书到 X509 结构

void loadCert( NSString * string, X509 * x){

NSData * certData;

unsigned char buf[ 4096 ],*p;

int len;

assert (string!= nil );

// 读取证书文件

certData=[ NSData dataWithContentsOfFile :string];

assert (certData!= nil );

len=certData. length ;

// NSData-->uchar*

[certData getBytes :( void *)buf length :len];

// p-->buf[0]

p=buf;

// 对 buf 中的数据进行解码，并返回一个 X509 结构

d2i_X509 (&x,( const unsigned char **)&p,len);

}

// 打印 X509 结构

void printX509( X509 * x){

int ret;

BIO *b;

// 初始化一个文件 BIO

b= BIO_new ( BIO_s_file ());

// 把标准输出 stdout 指向这个文件 BIO

BIO_set_fp (b, stdout , BIO_NOCLOSE );

// 把 X509 结构打印输出到文件 BIO

ret= X509_print (b,x);

// 释放流

BIO_free (b);

}

// 验证自签名证书

void verity( X509 * x1, NSString * string){

int i= 0 ;

X509_LOOKUP *lookup= NULL ;

// 证书 store 结构体

X509_STORE *cert_ctx;

// 证书 store 相关的上下文

X509_STORE_CTX *csc;

// 构造 CA 的 X509_STORE 结构体，包含所有有效证书链和废止证书链，用于校验

cert_ctx= X509_STORE_new ();

// 往 store 中加入一个搜索，可以查找单个的文件

lookup= X509_STORE_add_lookup (cert_ctx, X509_LOOKUP_file ());

assert (lookup!= NULL );

// 通过 lookup 加载 client.cer 内的证书（自签名）

i= X509_LOOKUP_load_file (lookup,[string UTF8String ], X509_FILETYPE_ASN1 );

assert (i!= 0 );

// 将 flags 赋值给 ctx 里面的 flags, 表明了验证证书时需要验证哪些项

// flags 可以是：

// X509_V_FLAG_IGNORE_CRITICAL 、

// X509_V_FLAG_CB_ISSUER_CHECK 、

// X509_V_FLAG_CRL_CHECK 、

// X509_V_FLAG_CRL_CHECK│X509_V_FLAG_CRL_CHECK_ALL 等

X509_STORE_set_flags (cert_ctx, X509_V_FLAG_CRL_CHECK_ALL );

csc = X509_STORE_CTX_new ();

if (! X509_STORE_CTX_init (csc,cert_ctx ,x1, NULL ))

{

NSLog ( @"Can NOT ctx init" );

return ;

}

// 开始校验

i= 0 ;

i= X509_verify_cert (csc);

X509_STORE_CTX_free (csc);

if (i)

NSLog ( @"cert OK" );

else

{

NSLog ( @"cert error" );

}

}

先搞个有效证书，client.cer，放在你的桌面上。运行程序，控制台打印：

cert OK

如果证书失效了（比如把证书有效期改为无效），控制台则打印：

cert error