所以我已经知道如何使用SSL_CTX_load_verify_locations()指定可信证书的位置.现在文档说明如下:
SSL_CTX_load_verify_locations() specifies the locations for ctx, at
which CA certificates for verification purposes are located. The
certificates available via CAfile and CApath are trusted.
并且还说:
When looking up CA certificates, the OpenSSL library will first search
the certificates in CAfile, then those in CApath.
没关系.但是没有提到驻留在OPENSSLDIR中的可信系统证书.
> CAfile和CApath都失败后是否检查了系统证书?
>对SSL_CTX_set_default_verify_paths()的调用是否会覆盖SSL_CTX_load_verify_locations()?或者它们并排工作,即可信系统证书和CAfile和CApath指定的证书?
>如果使用SSL_CTX_get_cert_store()手动将证书添加到证书存储区,即根本不调用SSL_CTX_load_verify_locations(),那么会发生什么情况?只检查商店证书吗?无论如何,在这种情况下禁用/启用检查受信任的系统证书?
最佳答案 好吧..所以我捅了一下,发现了我需要知道的东西.
建立:
– 双方都启用了对等验证的简单客户端和服务器
– 我创建了两个CA.我们称之为SS(自签名)和TR(可信).
– SS用于创建客户端(SS_C)和服务器(SS_S)证书.
– TR用于创建客户端(TR_C)和服务器(TR_S)证书.
– TR CA经过哈希处理并添加到默认CA目录中.
万无一失的测试:
– 除非我指定CAfile,否则SS_C和SS_S的openssl验证失败
– TR_C和TR_S的openssl验证成功
结果如预期
客户/服务器基本测试:
– 没有验证路径调用:SS失败 – TR失败
– 调用SSL_CTX_set_default_verify_paths:SS失败 – TR成功
– 使用SS作为CAfile调用SSL_CTX_load_verify_locations:SS成功 – TR失败
结果如预期
现在,让我们来看看更有趣的东西吧.
调用SSL_CTX_set_default_verify_paths和SSL_CTX_load_verify_locations:
在这种情况下,始终使用SS作为CAfile调用SSL_CTX_load_verify_locations.
– TR成功 – 无论呼叫的顺序如何
– SS成功 – 无论通话顺序如何
有趣的结果 – 至少对我而言
现在,我可以期望使用证书存储也可以
使用X509_STORE而不是SSL_CTX_load_verify_locations:
在这种情况下,我创建了SS CA的字节数组,获得了上下文的证书存储,并向其添加了SS CA.
– 只获取上下文的存储并向其添加SS CA:SS成功 – TR失败
– 只获取上下文的存储(以测试它是否添加了默认的可信证书):SS失败 – TR失败
– 调用SSL_CTX_set_default_verify_paths获取上下文的存储并向其添加SS CA:SS成功 – TR成功
太棒了……确实有效