PHP マニュアル: x509証明書のデジタル署名を公開鍵で検証する

説明

int openssl_x509_verify(OpenSSLCertificatestring $certificate, OpenSSLAsymmetricKeyOpenSSLCertificatearraystring $public_key)

openssl_x509_verify 関数は、 certificate 証明書が公開鍵 public_key に対応する秘密鍵で署名されたかどうかを検証します。

パラメータ

x509

使用できる値の一覧はキー/証明書パラメータを参照ください。

public_key

OpenSSLAsymmetricKey - openssl_get_publickey で返された公開鍵

string - PEMエンコードされた鍵。-----BEGIN PUBLIC KEY----- MIIBCgK... のようなものです。

戻り値

署名が正しければ 1 を。そうでなければ 0 を返し、エラーが発生した場合は -1 を返します。

変更履歴

バージョン	説明
8.0.0	`certificate` は、 OpenSSLCertificate クラスのインスタンスを受け入れるようになりました。これより前のバージョンでは、 `OpenSSL X.509` 型のリソースを受け入れていました。
8.0.0	`public_key` は、 OpenSSLAsymmetricKey または OpenSSLCertificate クラスのインスタンスを受け入れるようになりました。これより前のバージョンでは、 `OpenSSL key` または `OpenSSL X.509` 型のリソースを受け入れていました。

例

例1 openssl_x509_verify の例

<?php
$hostname = "news.php.net";
$ssloptions = array(
    "capture_peer_cert" => true, 
    "capture_peer_cert_chain" => true, 
    "allow_self_signed"=> false, 
    "CN_match" => $hostname,
    "verify_peer" => true,
    "SNI_enabled" => true,
    "SNI_server_name" => $hostname,
);
 
$ctx = stream_context_create( array("ssl" => $ssloptions) );
$result = stream_socket_client("ssl://$hostname:443", $errno, $errstr, 30, STREAM_CLIENT_CONNECT, $ctx);
$cont = stream_context_get_params($result);
$x509 = $cont["options"]["ssl"]["peer_certificate"];
$certparsed = openssl_x509_parse($x509);

foreach($cont["options"]["ssl"]["peer_certificate_chain"] as $chaincert)
{
    $chainparsed = openssl_x509_parse($chaincert);
    $chain_public_key = openssl_get_publickey($chaincert);
    $r = openssl_x509_verify($x509, $chain_public_key);   
    if ($r==1)
    {
        echo $certparsed['subject']['CN'];
        echo " was digitally signed by ";
        echo $chainparsed['subject']['CN']."\n";
    }
}
?>

参考

openssl_verify
openssl_get_publickey