OpenSSL

簡介
安裝／設定
預定義常數
金鑰／憑證參數
憑證驗證
OpenSSL 函式
- openssl_cipher_iv_length — 取得加密法的初始向量長度
- openssl_cipher_key_length — 取得加密法的金鑰長度
- openssl_cms_decrypt — 解密 CMS 訊息
- openssl_cms_encrypt — 加密 CMS 訊息
- openssl_cms_read — 將 CMS 檔案匯出為 PEM 憑證陣列
- openssl_cms_sign — 簽署檔案
- openssl_cms_verify — 驗證 CMS 簽章
- openssl_csr_export — 將 CSR 匯出為字串
- openssl_csr_export_to_file — 將 CSR 匯出至檔案
- openssl_csr_get_public_key — 取得 CSR 的公開金鑰
- openssl_csr_get_subject — 取得 CSR 的主旨
- openssl_csr_new — 產生 CSR
- openssl_csr_sign — 使用另一個憑證（或自身）簽署 CSR 並產生憑證
- openssl_decrypt — 解密資料
- openssl_dh_compute_key — 計算遠端 DH 公開金鑰的公開值和本地 DH 金鑰的共享密鑰
- openssl_digest — 計算摘要
- openssl_encrypt — 加密資料
- openssl_error_string — 返回 OpenSSL 錯誤訊息
- openssl_free_key — 釋放金鑰資源
- openssl_get_cert_locations — 取得可用的憑證位置
- openssl_get_cipher_methods — 取得可用的加密方法
- openssl_get_curve_names — 取得 ECC 可用的曲線名稱列表
- openssl_get_md_methods — 取得可用的摘要方法
- openssl_get_privatekey — openssl_pkey_get_private 的別名
- openssl_get_publickey — openssl_pkey_get_public 的別名
- openssl_open — 開啟密封資料
- openssl_pbkdf2 — 產生 PKCS5 v2 PBKDF2 字串
- openssl_pkcs12_export — 將 PKCS#12 相容的憑證儲存檔案匯出到變數
- openssl_pkcs12_export_to_file — 匯出 PKCS#12 相容的憑證儲存檔案
- openssl_pkcs12_read — 將 PKCS#12 憑證儲存剖析成陣列
- openssl_pkcs7_decrypt — 解密 S/MIME 加密訊息
- openssl_pkcs7_encrypt — 加密 S/MIME 訊息
- openssl_pkcs7_read — 將 PKCS7 檔案匯出到 PEM 憑證陣列
- openssl_pkcs7_sign — 簽署 S/MIME 訊息
- openssl_pkcs7_verify — 驗證 S/MIME 簽署訊息的簽名
- openssl_pkey_derive — 計算遠端和本地 DH 或 ECDH 金鑰的公開值的共享密鑰
- openssl_pkey_export — 將金鑰的可匯出表示形式取得到字串中
- openssl_pkey_export_to_file — 將金鑰的可匯出表示形式取得到檔案中
- openssl_pkey_free — 釋放私鑰
- openssl_pkey_get_details — 返回包含金鑰詳細資訊的陣列
- openssl_pkey_get_private — 取得私鑰
- openssl_pkey_get_public — 從憑證中提取公開金鑰並準備使用
- openssl_pkey_new — 產生新的私鑰
- openssl_private_decrypt — 使用私鑰解密資料
- openssl_private_encrypt — 使用私鑰加密資料
- openssl_public_decrypt — 使用公開金鑰解密資料
- openssl_public_encrypt — 使用公開金鑰加密資料
- openssl_random_pseudo_bytes — 產生偽隨機位元組字串
- openssl_seal — 密封（加密）資料
- openssl_sign — 產生簽名
- openssl_spki_export — 匯出有效的 PEM 格式公開金鑰簽章的公開金鑰和挑戰
- openssl_spki_export_challenge — 匯出與簽章的公開金鑰和挑戰相關聯的挑戰
- openssl_spki_new — 產生新的簽章的公開金鑰和挑戰
- openssl_spki_verify — 驗證簽章的公開金鑰和挑戰
- openssl_verify — 驗證簽章
- openssl_x509_check_private_key — 檢查私鑰是否與憑證相符
- openssl_x509_checkpurpose — 驗證憑證是否可用於特定用途
- openssl_x509_export — 將憑證匯出為字串
- openssl_x509_export_to_file — 將憑證匯出至檔案
- openssl_x509_fingerprint — 計算給定 X.509 憑證的指紋或摘要
- openssl_x509_free — 釋放憑證資源
- openssl_x509_parse — 解析 X509 憑證並將資訊以陣列形式返回
- openssl_x509_read — 解析 X.509 憑證並返回其物件
- openssl_x509_verify — 使用公鑰驗證 x509 憑證的數位簽章
OpenSSLCertificate — OpenSSLCertificate 類別
OpenSSLCertificateSigningRequest — OpenSSLCertificateSigningRequest 類別
OpenSSLAsymmetricKey — OpenSSLAsymmetricKey 類別

發現問題了嗎？

瞭解如何改進此頁面 • 提交 Pull Request • 回報錯誤

＋新增註釋

使用者貢獻的註釋 2 則註釋

向上

向下

bdh dot hall at gmail dot com ¶

15 年前

我花了很長時間尋找使用私鑰/公鑰系統進行非同步加密/解密的說明，而且我必須使用它來建立使用定期計費的信用卡模組。

使用普通的「同步」或雙向加密來做這件事是很愚蠢的，所以整個 mcrypt 函式庫都派不上用場。

但事實證明，OpenSSL 非常容易使用……然而它的文件卻非常稀少，以至於看起來會非常困難。

所以我分享我這一天的研究成果——希望對您有所幫助！

<?php

if (isset($_SERVER['HTTPS']) )
{
 echo "安全連線：此頁面正在透過安全連線存取。<br><br>";
}
else
{
 echo "非安全連線：此頁面正在透過非安全連線存取。<br><br>";
}

// 建立金鑰對
$res=openssl_pkey_new();

// 取得私鑰
openssl_pkey_export($res, $privatekey);

// 取得公鑰
$publickey=openssl_pkey_get_details($res);
$publickey=$publickey["key"];

echo "私鑰：<BR>$privatekey<br><br>公鑰：<BR>$publickey<BR><BR>";

$cleartext = '1234 5678 9012 3456';

echo "明文：<br>$cleartext<BR><BR>";

openssl_public_encrypt($cleartext, $crypttext, $publickey);

echo "加密文字：<br>$crypttext<BR><BR>";

openssl_private_decrypt($crypttext, $decrypted, $privatekey);

echo "解密文字：<BR>$decrypted<br><br>";
?>

非常感謝文件中其他貢獻者的協助，讓這件事變得更容易。

請注意，您只需要使用這些函式產生金鑰一次 — 將您的私鑰離線儲存以進行解密，並將您的公鑰放在您的腳本/設定檔中。如果您的資料遭到入侵，您不用擔心加密的資料或公鑰，只有私鑰和明文才真正重要。

祝您好運！

向上

向下

-4

koen dot thomeer at pubmed dot be ¶

16 年前

若要使用 OCSP 檢查用戶端憑證的狀態，您可以使用此腳本

<?php
// 使用者變數：
$dir = '/path/to/temp/'; // Apache 可存取的目錄 (chmod 777)。
$RootCA = '/path/to/Root.cer'; // 指向 PEM 格式的根憑證。
$OCSPUrl = 'http://ocsp.url'; //指向 OCSP URL
// 腳本：
$a = rand(1000,99999); // 如果您預期在一秒鐘內有更多頁面點擊，則需要此項！
file_put_contents($dir.$a.'cert_i.pem', $_SERVER['SSL_CLIENT_CERT_CHAIN_0']); // 簽發者憑證。
file_put_contents($dir.$a.'cert_c.pem', $_SERVER['SSL_CLIENT_CERT']); // 用戶端（驗證）憑證。
$output = shell_exec('openssl ocsp -CAfile '.$RootCA.' -issuer '.$dir.$a.'cert_i.pem -cert '.$dir.$a.'cert_c.pem -url '.$OCSPUrl);
$output2 = preg_split('/[\r\n]/', $output);
$output3 = preg_split('/: /', $output2[0]);
$ocsp = $output3[1];
echo "OCSP 狀態：".$ocsp; // 將會是「good」、「revoked」或「unknown」
unlink($dir.$a.'cert_i.pem');
unlink($dir.$a.'cert_c.pem');
?>

這可以再改進，但这只是一个開始！

通常，您可以從用戶端憑證中提取 OCSP URL。此外，OCSP 請求僅包含簽發者名稱的雜湊值、簽發者金鑰的雜湊值以及用戶端憑證的序號。這三項都可以直接從用戶端憑證中提取。

＋新增註釋