类 OpenSSL::OCSP::Request
一个 OpenSSL::OCSP::Request 包含用于确定证书是否已被吊销的证书信息。一个 Request 可以为证书创建,也可以从其他地方创建的 DER 编码请求创建。
公共类方法
OpenSSL::OCSP::Request.new → request 点击切换源代码
OpenSSL::OCSP::Request.new(request_der) → request
创建一个新的 OpenSSL::OCSP::Request。该请求可以为空创建,也可以从 request_der 字符串创建。
static VALUE
ossl_ocspreq_initialize(int argc, VALUE *argv, VALUE self)
{
VALUE arg;
OCSP_REQUEST *req, *req_new;
const unsigned char *p;
rb_scan_args(argc, argv, "01", &arg);
if(!NIL_P(arg)){
GetOCSPReq(self, req);
arg = ossl_to_der_if_possible(arg);
StringValue(arg);
p = (unsigned char *)RSTRING_PTR(arg);
req_new = d2i_OCSP_REQUEST(NULL, &p, RSTRING_LEN(arg));
if (!req_new)
ossl_raise(eOCSPError, "d2i_OCSP_REQUEST");
SetOCSPReq(self, req_new);
OCSP_REQUEST_free(req);
}
return self;
}
公共实例方法
add_certid(certificate_id) → request 点击切换源代码
将 certificate_id 添加到请求中。
static VALUE
ossl_ocspreq_add_certid(VALUE self, VALUE certid)
{
OCSP_REQUEST *req;
OCSP_CERTID *id, *id_new;
GetOCSPReq(self, req);
GetOCSPCertId(certid, id);
if (!(id_new = OCSP_CERTID_dup(id)))
ossl_raise(eOCSPError, "OCSP_CERTID_dup");
if (!OCSP_request_add0_id(req, id_new)) {
OCSP_CERTID_free(id_new);
ossl_raise(eOCSPError, "OCSP_request_add0_id");
}
return self;
}
add_nonce(nonce = nil) → request 点击切换源代码
向 OCSP 请求添加 nonce。如果没有给出 nonce,将生成一个随机 nonce。
nonce 用于防止重放攻击,但一些服务器不支持它。
static VALUE
ossl_ocspreq_add_nonce(int argc, VALUE *argv, VALUE self)
{
OCSP_REQUEST *req;
VALUE val;
int ret;
rb_scan_args(argc, argv, "01", &val);
if(NIL_P(val)) {
GetOCSPReq(self, req);
ret = OCSP_request_add1_nonce(req, NULL, -1);
}
else{
StringValue(val);
GetOCSPReq(self, req);
ret = OCSP_request_add1_nonce(req, (unsigned char *)RSTRING_PTR(val), RSTRING_LENINT(val));
}
if(!ret) ossl_raise(eOCSPError, NULL);
return self;
}
certid → [certificate_id, ...] 点击切换源代码
返回此请求中的所有证书 ID。
static VALUE
ossl_ocspreq_get_certid(VALUE self)
{
OCSP_REQUEST *req;
OCSP_ONEREQ *one;
OCSP_CERTID *id;
VALUE ary, tmp;
int i, count;
GetOCSPReq(self, req);
count = OCSP_request_onereq_count(req);
ary = (count > 0) ? rb_ary_new() : Qnil;
for(i = 0; i < count; i++){
one = OCSP_request_onereq_get0(req, i);
tmp = NewOCSPCertId(cOCSPCertId);
if(!(id = OCSP_CERTID_dup(OCSP_onereq_get0_id(one))))
ossl_raise(eOCSPError, NULL);
SetOCSPCertId(tmp, id);
rb_ary_push(ary, tmp);
}
return ary;
}
check_nonce(response) → result 点击切换源代码
检查此请求和 response 的 nonce 有效性。
返回值是以下之一
- -1
-
请求中只有 nonce。
- 0
-
nonce 都存在且不相等。
- 1
-
nonce 存在且相等。
- 2
-
nonce 都不存在。
- 3
-
响应中只有 nonce。
对于大多数响应,客户端可以检查 result > 0。如果响应者不处理 nonce,则可能需要 result.nonzero?。结果为 0 始终是错误。
static VALUE
ossl_ocspreq_check_nonce(VALUE self, VALUE basic_resp)
{
OCSP_REQUEST *req;
OCSP_BASICRESP *bs;
int res;
GetOCSPReq(self, req);
GetOCSPBasicRes(basic_resp, bs);
res = OCSP_check_nonce(req, bs);
return INT2NUM(res);
}
initialize_copy(p1) 点击切换源代码
static VALUE
ossl_ocspreq_initialize_copy(VALUE self, VALUE other)
{
OCSP_REQUEST *req, *req_old, *req_new;
rb_check_frozen(self);
GetOCSPReq(self, req_old);
GetOCSPReq(other, req);
req_new = ASN1_item_dup(ASN1_ITEM_rptr(OCSP_REQUEST), req);
if (!req_new)
ossl_raise(eOCSPError, "ASN1_item_dup");
SetOCSPReq(self, req_new);
OCSP_REQUEST_free(req_old);
return self;
}
sign(cert, key, certs = nil, flags = 0, digest = nil) → self 点击切换源代码
使用cert、key 和可选的digest 对此 OCSP 请求进行签名。如果未指定digest,则使用 SHA-1。certs 是一个可选的数组,包含除签名者证书之外还包含在请求中的其他证书。请注意,如果certs 为 nil 或未提供,则启用标志 OpenSSL::OCSP::NOCERTS。传递一个空数组以仅包含签名者证书。
flags 是以下常量的按位或运算
- OpenSSL::OCSP::NOCERTS
-
不要在请求中包含任何证书。certs 将被忽略。
static VALUE
ossl_ocspreq_sign(int argc, VALUE *argv, VALUE self)
{
VALUE signer_cert, signer_key, certs, flags, digest;
OCSP_REQUEST *req;
X509 *signer;
EVP_PKEY *key;
STACK_OF(X509) *x509s = NULL;
unsigned long flg = 0;
const EVP_MD *md;
int ret;
rb_scan_args(argc, argv, "23", &signer_cert, &signer_key, &certs, &flags, &digest);
GetOCSPReq(self, req);
signer = GetX509CertPtr(signer_cert);
key = GetPrivPKeyPtr(signer_key);
if (!NIL_P(flags))
flg = NUM2INT(flags);
if (NIL_P(digest))
md = NULL;
else
md = ossl_evp_get_digestbyname(digest);
if (NIL_P(certs))
flg |= OCSP_NOCERTS;
else
x509s = ossl_x509_ary2sk(certs);
ret = OCSP_request_sign(req, signer, key, md, x509s, flg);
sk_X509_pop_free(x509s, X509_free);
if (!ret) ossl_raise(eOCSPError, NULL);
return self;
}
signed? → true 或 false 点击切换源代码
如果请求已签名,则返回 true,否则返回 false。请注意,不会检查签名的有效性。使用 verify 来验证。
static VALUE
ossl_ocspreq_signed_p(VALUE self)
{
OCSP_REQUEST *req;
GetOCSPReq(self, req);
return OCSP_request_is_signed(req) ? Qtrue : Qfalse;
}
to_der() 点击切换源代码
将此请求作为 DER 编码的字符串返回
static VALUE
ossl_ocspreq_to_der(VALUE self)
{
OCSP_REQUEST *req;
VALUE str;
unsigned char *p;
long len;
GetOCSPReq(self, req);
if((len = i2d_OCSP_REQUEST(req, NULL)) <= 0)
ossl_raise(eOCSPError, NULL);
str = rb_str_new(0, len);
p = (unsigned char *)RSTRING_PTR(str);
if(i2d_OCSP_REQUEST(req, &p) <= 0)
ossl_raise(eOCSPError, NULL);
ossl_str_adjust(str, p);
return str;
}
verify(certificates, store, flags = 0) → true 或 false 点击切换源代码
使用给定的certificates 和store 验证此请求。certificates 是一个 OpenSSL::X509::Certificate 数组,store 是一个 OpenSSL::X509::Store。
请注意,如果请求没有签名,则返回 false。使用 signed? 检查请求是否已签名。
static VALUE
ossl_ocspreq_verify(int argc, VALUE *argv, VALUE self)
{
VALUE certs, store, flags;
OCSP_REQUEST *req;
STACK_OF(X509) *x509s;
X509_STORE *x509st;
int flg, result;
rb_scan_args(argc, argv, "21", &certs, &store, &flags);
GetOCSPReq(self, req);
x509st = GetX509StorePtr(store);
flg = NIL_P(flags) ? 0 : NUM2INT(flags);
x509s = ossl_x509_ary2sk(certs);
result = OCSP_request_verify(req, x509s, x509st, flg);
sk_X509_pop_free(x509s, X509_free);
if (result <= 0)
ossl_clear_error();
return result > 0 ? Qtrue : Qfalse;
}