所以我已经知道如何使用SSL_CTX_load_verify_locations()指定可信证书的位置。 现在文档说明如下:
SSL_CTX_load_verify_locations()指定ctx的位置,用于validation的CA证书位于该位置。 通过CAfile和CApath可用的证书是可信的。
还说:
查找CA证书时,OpenSSL库将首先searchCAfile中的证书,然后searchCApath中的证书。
没关系。 但是没有提到OPENSSLDIR中的可信系统证书。
SSL_CTX_set_default_verify_paths()的调用是否覆盖SSL_CTX_load_verify_locations() ? 或者它们并行工作,即可信系统证书和CAfile和CApath指定的证书? SSL_CTX_get_cert_store()将证书手动添加到证书存储区,即完全不调用SSL_CTX_load_verify_locations() ,那么会发生什么情况? 只有商店证书被检查? 无论如何,在这种情况下禁用/启用检查受信任的系统证书? 好吧..所以我刺了一下,发现了我需要知道的东西。
建立:
– 双方都启用了简单的客户端和服务器验证
– 我创建了两个CA。 我们称它们为SS(自签名)和TR(可信)。
– SS用于创建客户端(SS_C)和服务器(SS_S)证书。
– TR用于创建客户端(TR_C)和服务器(TR_S)证书。
– 将TR CA散列并添加到默认的CA目录。
万无一失测试:
– 除非我指定CAfile否则openssl verify SS_C和SS_S失败
– openssl verify TR_C和TR_S成功
结果如预期
客户机/服务器基本测试:
– 没有验证路径调用:SS失败 – TR失败
– 调用SSL_CTX_set_default_verify_paths :SS失败 – TR成功
– 以SS作为CAfile调用SSL_CTX_load_verify_locations:SS成功 – TR失败
结果如预期
现在,让我们来看看更有趣的东西。
调用SSL_CTX_set_default_verify_paths和SSL_CTX_load_verify_locations :
在这种情况下,调用SSL_CTX_load_verify_locations时始终使用SS作为CA文件。
– TR成功 – 不管呼叫的顺序如何
– SS成功 – 不管呼叫的顺序如何
有趣的结果 – 至少对我来说
现在,我可以预期使用证书存储也将工作
使用X509_STORE而不是X509_STORE :
在这种情况下,我创建了SS CA的一个字节数组,获取了上下文的证书存储,并添加了SS CA。
– 仅获取上下文的存储并添加SS CA:SS成功 – TR失败
– 仅获取上下文的存储(测试是否添加默认的可信证书):SS失败 – TR失败
– 调用SSL_CTX_set_default_verify_paths +获取上下文的存储并添加SS CA:SS成功 – TR成功
很好..它确实有效