OpenSSL

Introduction
Installation/Configuration
Constantes pré-définies
Paramètres clés/certificats
Vérification de certificats
Fonctions OpenSSL
- openssl_cipher_iv_length — Récupère la longueur cipher iv
- openssl_cipher_key_length — Gets the cipher key length
- openssl_cms_decrypt — Decrypt a CMS message
- openssl_cms_encrypt — Encrypt a CMS message
- openssl_cms_read — Export the CMS file to an array of PEM certificates
- openssl_cms_sign — Sign a file
- openssl_cms_verify — Verify a CMS signature
- openssl_csr_export_to_file — Exporte une CSR vers un fichier
- openssl_csr_export — Exporte un CSR vers un fichier ou une variable
- openssl_csr_get_public_key — Retourne la clé publique d'un CSR
- openssl_csr_get_subject — Retourne le sujet d'une CSR
- openssl_csr_new — Génère une CSR
- openssl_csr_sign — Signe un CSR avec un autre certificat (ou lui-même) et génère un certificat
- openssl_decrypt — Déchiffrer les données
- openssl_dh_compute_key — Calcule un secret partagé pour une valeur publique de la clé DH publique distante et la clé DH locale
- openssl_digest — Calcule un digest
- openssl_encrypt — Chiffre les données
- openssl_error_string — Retourne le message d'erreur OpenSSL
- openssl_free_key — Libère les ressources
- openssl_get_cert_locations — Récupère les chemins vers les certificats disponibles
- openssl_get_cipher_methods — Récupère la liste des méthodes de chiffrements disponibles
- openssl_get_curve_names — Récupère la liste des noms de courbes disponibles pour ECC
- openssl_get_md_methods — Récupère la liste des méthodes digest disponibles
- openssl_get_privatekey — Alias de openssl_pkey_get_private
- openssl_get_publickey — Alias de openssl_pkey_get_public
- openssl_open — Ouvre des données scellées
- openssl_pbkdf2 — Génère une chaîne PKCS5 v2 PBKDF2
- openssl_pkcs12_export_to_file — Exporte un certificat compatible PKCS#12
- openssl_pkcs12_export — Exporte un certificat compatible PKCS#12 dans une variable
- openssl_pkcs12_read — Lit un certificat PKCS#12 dans un tableau
- openssl_pkcs7_decrypt — Déchiffre un message S/MIME
- openssl_pkcs7_encrypt — Chiffre un message S/MIME
- openssl_pkcs7_read — Exporte le fichier PKCS7 vers un tableau de certificats PEM
- openssl_pkcs7_sign — Signe un message S/MIME
- openssl_pkcs7_verify — Vérifie la signature d'un message S/MIME
- openssl_pkey_derive — Computes shared secret for public value of remote and local DH or ECDH key
- openssl_pkey_export_to_file — Sauve une clé au format ASCII dans un fichier
- openssl_pkey_export — Stocke une représentation exportable de la clé dans une chaîne de caractères
- openssl_pkey_free — Libère une clé privée
- openssl_pkey_get_details — Retourne un tableau contenant les détails de la clé
- openssl_pkey_get_private — Lit une clé privée
- openssl_pkey_get_public — Extrait une clé publique d'un certificat, et la prépare
- openssl_pkey_new — Génère une nouvelle clé privée
- openssl_private_decrypt — Déchiffre des données avec une clé privée
- openssl_private_encrypt — Chiffre des données avec une clé privée
- openssl_public_decrypt — Déchiffre des données avec une clé publique
- openssl_public_encrypt — Chiffre des données avec une clé publique
- openssl_random_pseudo_bytes — Génère une chaine pseudo-aléatoire d'octets
- openssl_seal — Scelle des données
- openssl_sign — Signe les données
- openssl_spki_export_challenge — Exporte le challenge associé avec la clé publique signée
- openssl_spki_export — Exporte un PEM valide formaté comme une clé publique signée
- openssl_spki_new — Génère une clé publique signée et effectue un challenge
- openssl_spki_verify — Vérifie une clé publique signée, et effectue un challenge
- openssl_verify — Vérifie une signature
- openssl_x509_check_private_key — Vérifie si une clé privée correspond à un certificat
- openssl_x509_checkpurpose — Vérifie l'usage d'un certificat
- openssl_x509_export_to_file — Exporte un certificat vers un fichier
- openssl_x509_export — Exporte un certificat vers une chaîne de caractères
- openssl_x509_fingerprint — Calcule l'empreinte, ou le digest d'un certificat X.509 donné
- openssl_x509_free — Libère les ressources prises par un certificat
- openssl_x509_parse — Analyse un certificat X509
- openssl_x509_read — Analyse un certificat X.509 et retourne un objet
- openssl_x509_verify — Vérifie la signature digitale d'un certificat x509 par rapport à une clé publique
OpenSSLCertificate — The OpenSSLCertificate class
OpenSSLCertificateSigningRequest — The OpenSSLCertificateSigningRequest class
OpenSSLAsymmetricKey — The OpenSSLAsymmetricKey class

Improve This Page

Learn How To Improve This Page • Submit a Pull Request • Report a Bug

User Contributed Notes 2 notes

down

15 years ago

I was having a heck of a time finding help on making asynchronous encryption/decryption using private key/public key systems working, and I had to have it for creating a credit card module that uses recurring billing.

You'd be a fool to use normal, 'synchronous' or two-way encryption for this, so the whole mcrypt library won't help.

But, it turns out OpenSSL is extremely easy to use...yet it is so sparsely documented that it seems it would be incredibly hard.

So I share my day of hacking with you - I hope you find it helpful!

<?php

if (isset($_SERVER['HTTPS']) )
{
    echo "SECURE: This page is being accessed through a secure connection.<br><br>";
}
else
{
    echo "UNSECURE: This page is being access through an unsecure connection.<br><br>";
}

// Create the keypair
$res=openssl_pkey_new();

// Get private key
openssl_pkey_export($res, $privatekey);

// Get public key
$publickey=openssl_pkey_get_details($res);
$publickey=$publickey["key"];

echo "Private Key:<BR>$privatekey<br><br>Public Key:<BR>$publickey<BR><BR>";

$cleartext = '1234 5678 9012 3456';

echo "Clear text:<br>$cleartext<BR><BR>";

openssl_public_encrypt($cleartext, $crypttext, $publickey);

echo "Crypt text:<br>$crypttext<BR><BR>";

openssl_private_decrypt($crypttext, $decrypted, $privatekey);

echo "Decrypted text:<BR>$decrypted<br><br>";
?>

Many thanks to other contributors in the docs for making this less painful.

Note that you will want to use these sorts of functions to generate a key ONCE - save your privatekey offline for decryption, and put your public key in your scripts/configuration file. If your data is compromised you don't care about the encrypted stuff or the public key, it's only the private key and cleartext that really matter.

Good luck!

down

-5

koen dot thomeer at pubmed dot be ¶

15 years ago

For checking the status of a client certificate using OCSP, you can use this script:

<?php
// User variables:
$dir = '/path/to/temp/'; // Directory where apache has access to (chmod 777).
$RootCA = '/path/to/Root.cer'; // Points to the Root CA in PEM format.
$OCSPUrl = 'http://ocsp.url'; //Points to the OCSP URL
// Script:
$a = rand(1000,99999); // Needed if you expect more page clicks in one second!
file_put_contents($dir.$a.'cert_i.pem', $_SERVER['SSL_CLIENT_CERT_CHAIN_0']); // Issuer certificate.
file_put_contents($dir.$a.'cert_c.pem', $_SERVER['SSL_CLIENT_CERT']); // Client (authentication) certificate.
$output = shell_exec('openssl ocsp -CAfile '.$RootCA.' -issuer '.$dir.$a.'cert_i.pem -cert '.$dir.$a.'cert_c.pem -url '.$OCSPUrl);
$output2 = preg_split('/[\r\n]/', $output);
$output3 = preg_split('/: /', $output2[0]);
$ocsp = $output3[1];
echo "OCSP status: ".$ocsp; // will be "good", "revoked", or "unknown"
unlink($dir.$a.'cert_i.pem');
unlink($dir.$a.'cert_c.pem');
?>

It can be ameliorated, but it's just a beginning!

Normally, you can extract the ocsp url from the client certificate. Also, an OCSP request contains only the hash of the issuer name, the hash of the issuer's key, and the serial number of the client certificate. All three can be extracted directly from the client certificate.

＋add a note