我在 c 中使用 openssl 来验证证书。有什么办法可以跳过自签名证书错误?对于所有具有无效/过期/不匹配 url 证书的站点,我都收到该错误,并且我无法检测到任何其他错误。
我使用了这个函数
SSL_CTX_load_verify_locations(ctx,0,CA_LIST)) 加载 CA_LIST。它究竟是做什么的?
【问题讨论】:
标签: c++ openssl x509certificate
当对等方发送的证书列表中存在根证书或自签名证书时,证书链中的错误自签名证书会出现,但是您的信任存储中没有加载相同的证书。
SSL_CTX_load_verify_locations(ctx,0,CA_LIST)) 将尝试加载 CA_LIST 中提到的路径中存在的 CA。
函数原型为int SSL_CTX_load_verify_locations(SSL_CTX *ctx, const char *CAfile, const char *CApath);
OpenSSL 帮助页面显示:
"如果 CApath 不为 NULL,它指向一个包含 PEM 格式的 CA 证书的目录。每个文件都包含一个 CA 证书。这些文件由 CA 主题名称哈希值查找,因此必须可用。如果存在多个具有相同名称哈希值的 CA 证书,扩展名必须不同(例如 9d66eef0.0、9d66eef0.1 等)。搜索按扩展名的顺序执行,而不考虑证书的其他属性。使用 c_rehash 实用程序创建必要的链接。 CApath 中的证书仅在需要时才进行查找,例如在构建证书链或实际执行对等证书验证时。”
您可以从 OpenSSL 页面here 获取更多信息。
【讨论】: