所以我已经知道如何使用SSL_CTX_load_verify_locations()指定可信证书的位置.现在文档说明如下:
SSL_CTX_load_verify_locations() specifies the locations for ctx,at
which CA certificates for verification purposes are located. The
certificates available via CAfile and CApath are trusted.
并且还说:
When looking up CA certificates,the OpenSSL library will first search
the certificates in CAfile,then those in CApath.
没关系.但是没有提到驻留在OPENSSLDIR中的可信系统证书.
> CAfile和CApath都失败后是否检查了系统证书?
>对SSL_CTX_set_default_verify_paths()的调用是否会覆盖SSL_CTX_load_verify_locations()?或者它们并排工作,即可信系统证书和CAfile和CApath指定的证书?
>如果使用SSL_CTX_get_cert_store()手动将证书添加到证书存储区,即根本不调用SSL_CTX_load_verify_locations(),那么会发生什么情况?只检查商店证书吗?无论如何,在这种情况下禁用/启用检查受信任的系统证书?
好吧..所以我捅了一下,发现了我需要知道的东西.
建立:
? – 双方都启用了对等验证的简单客户端和服务器
? – 我创建了两个CA.我们称之为SS(自签名)和TR(可信).
? – SS用于创建客户端(SS_C)和服务器(SS_S)证书.
? – TR用于创建客户端(TR_C)和服务器(TR_S)证书.
? – TR CA经过哈希处理并添加到默认CA目录中.
万无一失的测试:
? – 除非我指定CAfile,否则SS_C和SS_S的openssl验证失败
? – TR_C和TR_S的openssl验证成功
结果如预期
客户/服务器基本测试:
? – 没有验证路径调用:SS失败 – TR失败
? – 调用SSL_CTX_set_default_verify_paths:SS失败 – TR成功
? – 使用SS作为CAfile调用SSL_CTX_load_verify_locations:SS成功 – TR失败
结果如预期
现在,让我们来看看更有趣的东西吧.
调用SSL_CTX_set_default_verify_paths和SSL_CTX_load_verify_locations:
在这种情况下,始终使用SS作为CAfile调用SSL_CTX_load_verify_locations.
? – TR成功 – 无论呼叫的顺序如何
? – SS成功 – 无论通话顺序如何
有趣的结果 – 至少对我而言
现在,我可以期望使用证书存储也可以
使用X509_STORE而不是SSL_CTX_load_verify_locations:在这种情况下,我创建了SS CA的字节数组,获得了上下文的证书存储,并向其添加了SS CA.? – 只获取上下文的存储并向其添加SS CA:SS成功 – TR失败? – 只获取上下文的存储(以测试它是否添加了默认的可信证书):SS失败 – TR失败? – 调用SSL_CTX_set_default_verify_paths获取上下文的存储并向其添加SS CA:SS成功 – TR成功太棒了……确实有效
