Архивы сертификат

PHP: Использование CURL с сертифкатом

07.07.2021 Павел Грибов PHP, WEB

Задача: Некий удаленный ресурс проверяет сертификат пользователя, при попытке получить с него данные. В наличии только стандартные сертификаты выданные LetEncrypt.

Решение:

Сертификаты необходимо сконвертировать. В наличии:

sert.crt — сертификат домена в PEM формате
sert.key — приватный ключ PEM формате

Конвертируем используя промежуточную конвертацию в формат p12:

openssl pkcs12 -export -in sert.crt -inkey sert.key -out sert.p12
openssl pkcs12 -in sert.p12 -nodes -out result.pem

По итогу получили файл result.pem. Далее его и будем использовать при работе с curl:

$ch = curl_init();
                curl_setopt($ch, CURLOPT_URL, "https://некий ресурс");    
                curl_setopt($ch, CURLOPT_SSLCERT, WUO_ROOT."result.pem" );
                curl_setopt($ch,CURLOPT_SSLCERTTYPE,"PEM");
                curl_setopt($ch, CURLOPT_HTTPHEADER, array('Content-Type: application/x-www-form-urlencoded'));
                curl_setopt($ch, CURLOPT_RETURNTRANSFER, True);
                curl_setopt($ch, CURLOPT_POST, True);
                curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
                $post=http_build_query($post, '', '&');
                curl_setopt($ch, CURLOPT_POSTFIELDS, $post);
                curl_setopt($ch, CURLOPT_VERBOSE, true);
                $result = curl_exec($ch);
                curl_close($ch);

Оставить комментарий curl, pem, ssl, сертификат

Запрос выбора SSL сертификата в компоненте WebView

25.07.2017 Павел Грибов Android

Задача: при открытии страницы https необходимо позволить пользователю выбрать необходимый сертификат ssl из установленых в хранилище.

Решение:

private class NocWebViewClient extends WebViewClient {
    @Override
    public void onReceivedClientCertRequest(WebView view, final ClientCertRequest request) {
        Log.v(getClass().getSimpleName(), "===> certificate required!");

        KeyChain.choosePrivateKeyAlias(Form1.this, new KeyChainAliasCallback(){
            @TargetApi(Build.VERSION_CODES.LOLLIPOP)
            @Override
            public void alias(String alias) {
                Log.v(getClass().getSimpleName(), "===>Key alias is: " + alias);
                try {
                    PrivateKey changPrivateKey = KeyChain.getPrivateKey(Form1.this, alias);
                    X509Certificate[] certificates = KeyChain.getCertificateChain(Form1.this, alias);
                    Log.v(getClass().getSimpleName(), "===>Getting Private Key Success!" );
                    request.proceed(changPrivateKey, certificates);
                } catch (KeyChainException e) {
                    Log.e(getClass().getSimpleName(), Util.printException(e));
                } catch (InterruptedException e) {
                    Log.e(getClass().getSimpleName(), Util.printException(e));
                }
            }
        },new String[]{"RSA"}, null, null, -1, null);
    }
    @Override
    public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {
        handler.proceed();
    }

    @Override
    public boolean shouldOverrideUrlLoading(WebView view, String url)
    {
        return true;
    }
    @Override
    public void onPageFinished(WebView view, String url){

    }

private class NocWebViewClient extends WebViewClient {

@Override

public void onReceivedClientCertRequest(WebView view, final ClientCertRequest request) {

Log.v(getClass().getSimpleName(), "===> certificate required!");

KeyChain.choosePrivateKeyAlias(Form1.this, new KeyChainAliasCallback(){

@TargetApi(Build.VERSION_CODES.LOLLIPOP)

@Override

public void alias(String alias) {

Log.v(getClass().getSimpleName(), "===>Key alias is: " + alias);

try {

PrivateKey changPrivateKey = KeyChain.getPrivateKey(Form1.this, alias);

X509Certificate[] certificates = KeyChain.getCertificateChain(Form1.this, alias);

Log.v(getClass().getSimpleName(), "===>Getting Private Key Success!" );

request.proceed(changPrivateKey, certificates);

} catch (KeyChainException e) {

Log.e(getClass().getSimpleName(), Util.printException(e));

} catch (InterruptedException e) {

Log.e(getClass().getSimpleName(), Util.printException(e));

}

},new String[]{"RSA"}, null, null, -1, null);

}

@Override

public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {

handler.proceed();

}

@Override

public boolean shouldOverrideUrlLoading(WebView view, String url)

{

return true;

}

@Override

public void onPageFinished(WebView view, String url){

}

Оставить комментарий android, ssl, webview, сертификат

WGET и закачка файлов с https с сертификатом p12

20.03.2015 Павел Грибов Linux

«Из коробки» wget с данным сертификатом работать не будет:

pavel@pavel-All-Series:~/Рабочий стол$ wget https://eiufherue.ru/index.php --no-check-certificate --certificate=erferdya1.p12
--2015-03-20 17:10:48--  https://erferwf.ru/index.php
OpenSSL: error:0906D06C:PEM routines:PEM_read_bio:no start line
OpenSSL: error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib
SSL отключается из-за непредвиденных ошибок.

pavel@pavel-All-Series:~/Рабочий стол$ wget https://eiufherue.ru/index.php --no-check-certificate --certificate=erferdya1.p12

--2015-03-20 17:10:48-- https://erferwf.ru/index.php

OpenSSL: error:0906D06C:PEM routines:PEM_read_bio:no start line

OpenSSL: error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib

SSL отключается из-за непредвиденных ошибок.

Но! Оказывается мы можем сконвертировать сертификат p12 в формат pem, и wget его спокойно «переварит»:

pavel@pavel-All-Series:~/Рабочий стол$ openssl pkcs12 -nocerts -in Vwfdewra1.p12 -out servkey.pem -nodes
Enter Import Password:
MAC verified OK
pavel@pavel-All-Series:~/Рабочий стол$ openssl pkcs12 -clcerts -nokeys -in Vierferya1.p12 -out servcert.pem -nodes
Enter Import Password:
MAC verified OK

pavel@pavel-All-Series:~/Рабочий стол$ openssl pkcs12 -nocerts -in Vwfdewra1.p12 -out servkey.pem -nodes

Enter Import Password:

MAC verified OK

pavel@pavel-All-Series:~/Рабочий стол$ openssl pkcs12 -clcerts -nokeys -in Vierferya1.p12 -out servcert.pem -nodes

Enter Import Password:

MAC verified OK

Теперь пробуем закачать страницу:

wget --certificate=servcert.pem --private-key=servkey.pem --server-response 'https://werfewrr.ru/index.php' --no-check-certificat

--2015-03-20 17:33:46--  https://nweferfrfer.ru/index.php
Распознаётся noc.nweferfrfer.ru (noc.nweferfrfer.ru)… 176.107.208.10
Подключение к noc.yarteleservice.ru (noc.nweferfrfer.ru)|176.107.208.10|:443... соединение установлено.
ПРЕДУПРЕЖДЕНИЕ: невозможно проверить сертификат noc.nweferfrfer.ru, выпущенный «/C=RU/ST=YAR/L=YAR/O=nweferfrfer LLC/OU=GY Internet Department/CN=noc.nweferfrfer.ru/emailAddress=admin@nweferfrfer.ru»:
  Обнаружен самостоятельно подписанный сертификат.
HTTP-запрос отправлен. Ожидание ответа... 
  HTTP/1.1 200 OK
  Date: Fri, 20 Mar 2015 14:33:02 GMT
  Server: Apache/2.2.29 (FreeBSD) PHP/5.3.27 with Suhosin-Patch mod_ssl/2.2.29 OpenSSL/0.9.8y DAV/2
  X-Powered-By: PHP/5.3.27
  Keep-Alive: timeout=5, max=100
  Connection: Keep-Alive
  Transfer-Encoding: chunked
  Content-Type: text/html
Длина: нет данных [text/html]
Сохранение в: «index.php»

    [ <=>                                                                                                                                                                                                                                   ] 20 304      --.-K/s   за 0,1s    

2015-03-20 17:33:47 (168 KB/s) - «index.php» сохранён [20304]

wget --certificate=servcert.pem --private-key=servkey.pem --server-response 'https://werfewrr.ru/index.php' --no-check-certificat

--2015-03-20 17:33:46-- https://nweferfrfer.ru/index.php

Распознаётся noc.nweferfrfer.ru (noc.nweferfrfer.ru)… 176.107.208.10

Подключение к noc.yarteleservice.ru (noc.nweferfrfer.ru)|176.107.208.10|:443... соединение установлено.

ПРЕДУПРЕЖДЕНИЕ: невозможно проверить сертификат noc.nweferfrfer.ru, выпущенный «/C=RU/ST=YAR/L=YAR/O=nweferfrfer LLC/OU=GY Internet Department/CN=noc.nweferfrfer.ru/emailAddress=admin@nweferfrfer.ru»:

Обнаружен самостоятельно подписанный сертификат.

HTTP-запрос отправлен. Ожидание ответа...

HTTP/1.1 200 OK

Date: Fri, 20 Mar 2015 14:33:02 GMT

Server: Apache/2.2.29 (FreeBSD) PHP/5.3.27 with Suhosin-Patch mod_ssl/2.2.29 OpenSSL/0.9.8y DAV/2

X-Powered-By: PHP/5.3.27

Keep-Alive: timeout=5, max=100

Connection: Keep-Alive

Transfer-Encoding: chunked

Content-Type: text/html

Длина: нет данных [text/html]

Сохранение в: «index.php»

[ <=> ] 20 304 --.-K/s за 0,1s

2015-03-20 17:33:47 (168 KB/s) - «index.php» сохранён [20304]

Оставить комментарий certificate, https, linux, openssl, p12, wget, сертификат

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31