通过OpenSSL获取证书扩展属性之一：“基本约束”

      前面通过一系列文章，讲述了如使用OpenSSL解析证书的基本项，现在我们来看看如何获取证书的扩展项。

      目前CA中心颁发的证书，都有一些扩展项属性，用来限定证书的用途、提供颁发者信息、以及CRL的下载地址等等。在下图中，红色区域内的属性都为证书的扩展属性。

      在OpenSSL中，提供了函数X509_get_ext_d2i()，可以通过指定属性的NID来返回对应的结构体。该函数的定义如下：

void*X509_get_ext_d2i(X509 *x, int nid, int *crit, int *idx);

其中：

第一个参数x，为证书结构体X509指针；

第二个参数nid，为要获取的扩展对象NID，“基本约束”的NID为NID_basic_constraints；

第三个参数crit，为返回参数，表明该扩展属性是否为关键扩展；

第四个参数idx，为可选返回参数，表明该扩展的序号，可以传NULL。

在OpenSSL中，“基本约束”扩展属性的结构体定义如下：

typedef struct BASIC_CONSTRAINTS_st {int ca;ASN1_INTEGER *pathlen;} BASIC_CONSTRAINTS;

其中：

第一个成员ca，表明该证书可否作为CA证书签发下一级证书，一般用户证书该值都为0。

第二个参数pathlen，只有当ca=1时才有效，表明具体可以签发的证书级别。

使用OpenSSL获取“基本约束”扩展属性的完整函数代码如下：

ULONG COpenSSLCertificate::_GetExtBasicConstraints(X509 *pX509Cert, LPSTR lpscProperty, ULONG* pulLen){int crit = 0;char value[512] = {0};BASIC_CONSTRAINTS *bcons = NULL;if (!m_pX509){return CERT_ERR_INVILIDCALL;}if (!pulLen){return CERT_ERR_INVALIDPARAM;}bcons = (BASIC_CONSTRAINTS*)X509_get_ext_d2i(m_pX509, NID_basic_constraints, &crit, NULL);if (!bcons){return CERT_ERR_ATTR_NOTEXIST;}if (!bcons->ca){strcat_s(value, 512, "Subject Type=End Entity; ");strcat_s(value, 512, "Path Length Constraint=None");}else{char temp[128] = {0};sprintf_s(temp, 128, "Path Length Constraint=%d", bcons->pathlen);strcat_s(value, 512, "Subject Type=CA; ");strcat_s(value, 512, temp);}BASIC_CONSTRAINTS_free(bcons);if (!lpscProperty){*pulLen = strlen(value) + 1;}if (*pulLen < (strlen(value) + 1)){return CERT_ERR_BUFFER_TOO_SMALL;}strcpy_s(lpscProperty, *pulLen, value);return CERT_ERR_OK;}