所以我已经知道如何使用SSL_CTX_load_verify_locations()指定可信证书的位置.现在文档说明如下：

SSL_CTX_load_verify_locations() specifies the locations for ctx, at
which CA certificates for verification purposes are located. The
certificates available via CAfile and CApath are trusted.

并且还说：

When looking up CA certificates, the OpenSSL library will first search
the certificates in CAfile, then those in CApath.

没关系.但是没有提到驻留在OPENSSLDIR中的可信系统证书.

> CAfile和CApath都失败后是否检查了系统证书？
>对SSL_CTX_set_default_verify_paths()的调用是否会覆盖SSL_CTX_load_verify_locations()？或者它们并排工作,即可信系统证书和CAfile和CApath指定的证书？
>如果使用SSL_CTX_get_cert_store()手动将证书添加到证书存储区,即根本不调用SSL_CTX_load_verify_locations(),那么会发生什么情况？只检查商店证书吗？无论如何,在这种情况下禁用/启用检查受信任的系统证书？

最佳答案 好吧..所以我捅了一下,发现了我需要知道的东西.

建立：

  – 双方都启用了对等验证的简单客户端和服务器

  – 我创建了两个CA.我们称之为SS(自签名)和TR(可信).

  – SS用于创建客户端(SS_C)和服务器(SS_S)证书.

  – TR用于创建客户端(TR_C)和服务器(TR_S)证书.

  – TR CA经过哈希处理并添加到默认CA目录中.

万无一失的测试：
  – 除非我指定CAfile,否则SS_C和SS_S的openssl验证失败
  – TR_C和TR_S的openssl验证成功
结果如预期

客户/服务器基本测试：
  – 没有验证路径调用：SS失败 – TR失败
  – 调用SSL_CTX_set_default_verify_paths：SS失败 – TR成功
  – 使用SS作为CAfile调用SSL_CTX_load_verify_locations：SS成功 – TR失败
结果如预期

现在,让我们来看看更有趣的东西吧.
调用SSL_CTX_set_default_verify_paths和SSL_CTX_load_verify_locations：
在这种情况下,始终使用SS作为CAfile调用SSL_CTX_load_verify_locations.
  – TR成功 – 无论呼叫的顺序如何
  – SS成功 – 无论通话顺序如何
有趣的结果 – 至少对我而言
现在,我可以期望使用证书存储也可以

使用X509_STORE而不是SSL_CTX_load_verify_locations：
在这种情况下,我创建了SS CA的字节数组,获得了上下文的证书存储,并向其添加了SS CA.
  – 只获取上下文的存储并向其添加SS CA：SS成功 – TR失败
  – 只获取上下文的存储(以测试它是否添加了默认的可信证书)：SS失败 – TR失败
  – 调用SSL_CTX_set_default_verify_paths获取上下文的存储并向其添加SS CA：SS成功 – TR成功
太棒了……确实有效