无法使用 OpenSSL 验证服务器证书

Question

我使用 OpenSSL（在 Ubuntu 12.04 上用 C++ 编写）编写了一个 SOAP 客户端，但它目前无需检查服务器安全证书即可工作。这是我用来建立连接和检查证书的功能

bool bInitialiseSSL(SSL_CTX* &ctx, SSL* &ssl, BIO* &bio)
{
    ctx = SSL_CTX_new(SSLv23_client_method());  
    bio = BIO_new_ssl_connect(ctx);
    if (bio == NULL) {
        ERR_print_errors_fp(stderr);    
        SSL_CTX_free(ctx);
        return false;
    }

    BIO_get_ssl(bio, &ssl);

    SSL_set_mode(ssl, SSL_MODE_AUTO_RETRY);
    char target[]  = "api.betfair.com:https";

    BIO_set_conn_hostname(bio, target);
    BIO_set_nbio(bio,1);
    while (1) {
        if (BIO_do_connect(bio) <= 0) {
            if (!BIO_should_retry(bio)) {
                cout << "Connect failed." << endl;
                BIO_free_all(bio);
                SSL_CTX_free(ctx);
                return false;
            }
        } else {
            break;
        }
    }

    if (BIO_do_handshake(bio) <= 0) {
        BIO_free_all(bio);
        SSL_CTX_free(ctx);
        return false;
    }

    X509 *cert;
    bool bValid  = false;
    cert = SSL_get_peer_certificate(ssl); 
    if ( cert != NULL ) {
        long res = SSL_get_verify_result(ssl);
        if (res == X509_V_OK) {
            bValid = true;
        } else {
            cout << "Error in security validation: " << res << endl;
        }
        X509_free(cert);   
    }
    return bValid;
}

这工作正常，但 SSL_get_verify_result 的返回值为 20，对应于

X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY：无法获取本地 颁发者证书

我已经阅读了一些 OpenSSL 文档以了解它们的功能，但它对用户不是特别友好。我查看了许多网络教程，但我看不出我做错了什么。在我尝试实施证书检查之前，我的软件运行良好，但我看不到我需要做什么。我需要在我的机器上配置设置吗？该服务器是必发的，据说非常安全，我很难相信他们没有有效的 SSL 证书。如果有人能告诉我我做错了什么，我将不胜感激。

Answer 1

这取决于服务器的证书。

• 如果是公共有效证书，您可以将 CA 证书文件包含在 SSL_CTX 中。

代码：

ctx = SSL_CTX_new(SSLv23_client_method()); 
// You can load CA certs into SSL_CTX
SSL_CTX_load_verify_locations(ctx, cafile, NULL); // cafile: CA PEM certs file

您可以从 cURL 网站CA Certs from mozilla.org 下载公共 CA 证书文件

• 如果是私有证书，并且你有证书文件，你可以使用SSL_CTX_use_certificate_file而不是SSL_CTX_load_verify_locations。