HarmonyOS 鸿蒙Next网络编程系列40-TLS数字证书查看及验签示例

1. TLS数字证书验签简介

数字证书的验签是网络编程中一个重要的功能，它保证了数字证书的真实性，在此基础上，我们才可以信任该证书，从而信任基于该证书建立的安全通道，所以说，数字证书的验签是通讯安全的基石，了解数字证书验签的原理和方法，有助于我们建立安全的通讯。

用户数字证书的验签是通过签发该数字证书的CA证书完成的，因为用户数字证书是由CA证书的私钥签名的，使用CA的公钥可以验证数字证书的合法性，鸿蒙的X509Cert数字证书类提供了验签方法verify:

verify(key: cryptoFramework.PubKey): Promise<void>

该方法可以通过CA的公钥来验证证书的有效性。

本文将通过一个示例演示数字证书内容的查看方法以及如何对一个数字证书进行验签。

2. TLS数字证书查看及验签演示

本示例运行后的界面如图所示：

单击CA证书后面的“选择”按钮，选择一个CA证书，再单击“查看”按钮可以查看该证书的详细信息，如图所示：

然后再选择一个不是该CA证书签发的用户证书，比如百度的证书，再单击“验签”按钮：

很显然，验签失败了。再选择一个该CA证书签名的用户证书，然后单击“验签”按钮：

这次验签就通过了。

3. TLS数字证书查看及验签示例编写

下面详细介绍创建该示例的步骤。

步骤1：创建Empty Ability项目。

步骤2：在Index.ets文件里添加如下的代码：

import { BusinessError } from '@kit.BasicServicesKit';
import { cert } from '@kit.DeviceCertificateKit';
import fs from '@ohos.file.fs';
import { picker } from '@kit.CoreFileKit';

@Entry
@Component
struct Index {
  //连接、通讯历史记录
  @State msgHistory: string = ''
  //CA证书是否已选择
  @State caFileSelect: boolean = false
  //用户证书是否已选择
  @State certFileSelect: boolean = false
  //选择的ca文件
  @State caFileUri: string = ''
  //选择的用户证书文件
  @State certFileUri: string = ''
  scroller: Scroller = new Scroller()

  build() {
    Row() {
      Column() {
        Text("数字证书查看及验签示例")
          .fontSize(14)
          .fontWeight(FontWeight.Bold)
          .width('100%')
          .textAlign(TextAlign.Center)
          .padding(10)

        Flex({ justifyContent: FlexAlign.Start, alignItems: ItemAlign.Center }) {
          Text("CA证书")
            .fontSize(14)
            .width(90)
            .flexGrow(1)

          Button("选择")
            .onClick(async () => {
              this.caFileUri = await selectSingleDocFile(getContext(this))
              if (this.caFileUri) {
                this.caFileSelect = true
              }
            })
            .width(70)
            .fontSize(14)

          Button("查看")
            .onClick(() => {
              this.viewCertInfo(this.caFileUri)
            })
            .width(70)
            .fontSize(14)
            .enabled(this.caFileSelect)
        }
        .width('100%')
        .padding(10)

        Text(this.caFileUri)
          .width('100%')
          .padding(10)

        Flex({ justifyContent: FlexAlign.Start, alignItems: ItemAlign.Center }) {
          Text("用户证书：")
            .fontSize(14)
            .width(90)
            .flexGrow(1)

          Button("选择")
            .onClick(async () => {
              this.certFileUri = await selectSingleDocFile(getContext(this))
              if (this.certFileUri) {
                this.certFileSelect = true
              }
            })
            .width(70)
            .fontSize(14)

          Button("查看")
            .onClick(() => {
              this.viewCertInfo(this.certFileUri)
            })
            .width(70)
            .fontSize(14)
            .enabled(this.certFileSelect)

          Button("验签")
            .onClick(() => {
              this.verifyCert(this.caFileUri, this.certFileUri)
            })
            .width(70)
            .fontSize(14)
            .enabled(this.certFileSelect && this.caFileSelect)
        }
        .width('100%')
        .padding(10)

        Text(this.certFileUri)
          .width('100%')
          .padding(10)

        Scroll(this.scroller) {
          Text(this.msgHistory)
            .textAlign(TextAlign.Start)
            .padding(10)
            .width('100%')
            .backgroundColor(0xeeeeee)
        }
        .align(Alignment.Top)
        .backgroundColor(0xeeeeee)
        .height(300)
        .flexGrow(1)
        .scrollable(ScrollDirection.Vertical)
        .scrollBar(BarState.On)
        .scrollBarWidth(20)
      }
      .width('100%')
      .justifyContent(FlexAlign.Start)
      .height('100%')
    }
    .height('100%')
  }

  //输出指定证书文件的证书信息
  async viewCertInfo(filePath: string) {
    let x509Cert = await this.getCertFromFile(filePath)
    if (x509Cert != undefined) {
      this.showCertInfo(x509Cert)
    } else {
      this.msgHistory += "错误的证书文件格式：" + filePath + "\r\n";
    }
  }

  //从文件获取X509证书
  async getCertFromFile(filePath: string): Promise<cert.X509Cert | undefined> {
    let newCert: cert.X509Cert | undefined = undefined
    //读取文件内容
    let certData = readArrayBufferContentFromFile(filePath);
    if (certData) {
      let encodingBlob: cert.EncodingBlob = {
        data: new Uint8Array(certData),
        encodingFormat: cert.EncodingFormat.FORMAT_PEM
      };
      //创建X509数字证书
      await cert.createX509Cert(encodingBlob)
        .then((x509Cert: cert.X509Cert) => {
          newCert = x509Cert
        })
        .catch((err: BusinessError) => {
          this.msgHistory += `创建X509证书失败: 错误码 ${err.code}, 错误信息 ${JSON.stringify(err)}\r\n`;
        })
    }
    return newCert
  }

  //输出证书信息
  async showCertInfo(x509Cert: cert.X509Cert) {
    try {
      let issuerName = x509Cert.getIssuerX500DistinguishedName().getName()
      this.msgHistory += `颁发者可分辨名称：${issuerName}\r\n`;
      let subjectName = x509Cert.getSubjectX500DistinguishedName().getName()
      this.msgHistory += `证书主题可分辨名称：${subjectName}\r\n`;
      let subjectCNName = x509Cert.getSubjectX500DistinguishedName().getName("CN")
      this.msgHistory += `证书主题CN名称：${subjectCNName}\r\n`;
      this.msgHistory += `证书有效期：${x509Cert.getNotBeforeTime()}至${x509Cert.getNotAfterTime()}\r\n`;
      this.msgHistory += `证书签名算法：${x509Cert.getSignatureAlgName()}\r\n`;
    } catch (e) {
      this.msgHistory += '输出证书信息异常： ' + e.message + "\r\n";
    }
  }

  //使用CA证书验证用户证书
  async verifyCert(caFilePath: string, certFilePath: string) {
    //获取CA证书
    let caCert = await this.getCertFromFile(caFilePath)
    if (caCert == undefined) {
      this.msgHistory += "错误的证书文件格式：" + caFilePath + "\r\n";
      return
    }

    //获取用户证书
    let userCert = await this.getCertFromFile(certFilePath)
    if (userCert == undefined) {
      this.msgHistory += "错误的证书文件格式：" + certFilePath + "\r\n";
    }

    //使用CA证书公玥验证用户证书
    userCert?.verify(caCert.getPublicKey()).then(() => {
      this.msgHistory += "证书验签通过\r\n";
    })
      .catch((err: BusinessError) => {
        this.msgHistory += `验签失败：错误码 ${err.code}, 错误信息 ${JSON.stringify(err)}\r\n`;
      })
  }
}

//选择单个文件并返回选中文件地址
async function selectSingleDocFile(context: Context): Promise<string> {
  let selectedFilePath: string = ""
  let documentPicker = new picker.DocumentViewPicker(context);
  await documentPicker.select({ maxSelectNumber: 1 }).then((result) => {
    if (result.length > 0) {
      selectedFilePath = result[0]
    }
  })
  return selectedFilePath
}

//从文件读取二进制内容
function readArrayBufferContentFromFile(fileUri: string): ArrayBuffer {
  let file = fs.openSync(fileUri, fs.OpenMode.READ_ONLY);
  let fsStat = fs.statSync(file.fd);
  let buf = new ArrayBuffer(fsStat.size);
  fs.readSync(file.fd, buf);
  fs.fsyncSync(file.fd)
  fs.closeSync(file);
  return buf
}

步骤3：编译运行，可以使用模拟器或者真机。

步骤4：按照本节第2部分“TLS数字证书查看及验签演示”操作即可。

4. 代码分析

本示例关键点有两个，一个是从证书文件中获取证书信息创建X509Cert对象，这是通过方法getCertFromFile实现的；另一个是使用CA证书验签用户证书，在获取CA公钥的时候使用的是X509Cert的getPublicKey方法，需要注意的是，该方法获取的公钥只能用于验签，不能用来获取公钥的内容，否则会出现异常。

（本文作者原创，除非明确授权禁止转载）

本文源码地址： https://gitee.com/zl3624/harmonyos_network_samples/tree/master/code/tls/CertVerify

本系列源码地址： https://gitee.com/zl3624/harmonyos_network_samples

更多关于HarmonyOS 鸿蒙Next网络编程系列40-TLS数字证书查看及验签示例的实战系列教程也可以访问 https://www.itying.com/category-93-b0.html

ionicwang 1楼•7 天前

更多关于HarmonyOS 鸿蒙Next网络编程系列40-TLS数字证书查看及验签示例的实战系列教程也可以访问 https://www.itying.com/category-93-b0.html

在HarmonyOS（鸿蒙）系统中进行TLS数字证书查看及验签操作，通常涉及到底层网络通信库和证书管理API的使用。以下是一个简化的操作示例流程：

加载证书：
- 使用鸿蒙提供的证书加载函数，从文件或内存中读取TLS证书。鸿蒙系统可能提供了专门的API来解析PEM或DER格式的证书。
查看证书信息：
- 利用证书解析后的数据结构，提取并显示证书的颁发者、持有者、有效期等关键信息。鸿蒙的API应该允许访问这些字段。
验证签名：
- 使用鸿蒙的加密库函数，对证书的数字签名进行验证。这通常涉及使用证书的公钥对签名数据进行解密，并与哈希值进行比较。
- 验证过程中，可能需要指定哈希算法（如SHA-256）和加密算法（如RSA）。
处理结果：
- 根据签名验证的结果，执行相应的逻辑，如允许或拒绝网络连接。

请注意，实际操作中需要参考鸿蒙系统的官方文档，确保使用正确的API和数据结构。由于鸿蒙系统的封闭性和不断更新，具体的API调用和参数可能会随时间变化。

如果问题依旧没法解决请联系官网客服，官网地址是 https://www.itying.com/category-93-b0.html，