【发布时间】:2019-01-29 05:29:54
【问题描述】:
我正在尝试使用 OpenSSL 1.0.2 C API 对 Windows 可执行文件执行证书链验证,其中还包括检查已撤销的证书。
我有 CRL 文件存储在本地,我想在验证期间加载它们(而不是通过“CRL 分发点”URL 从拥有它的证书下载 CRL)。
这是我加载单个 CRL 文件的简化示例(省略任何错误检查):
X509_STORE *store = NULL;
X509_STORE_CTX *ctx = NULL;
X509_VERIFY_PARAM *params = NULL;
X509_CRL *crl = d2i_X509_CRL_fp(fc, NULL); // fc is a file pointer to CRL file
X509_STORE_add_crl(store, crl);
X509_STORE_CTX_init(ctx, store, NULL, NULL);
params = X509_STORE_CTX_get0_param(ctx);
X509_VERIFY_PARAM_set_purpose(params, X509_PURPOSE_ANY);
X509_VERIFY_PARAM_set_flags(params, X509_V_FLAG_CRL_CHECK); // only want to check end entity
X509_STORE_set1_param(store, params);
// assume p7 is properly initialized PKCS7*
// assume bio is properly initialized BIO*
int ret = PKCS7_verify(p7, p7->d.sign->cert, store, bio, NULL, 0);
上面的代码将返回ret == 0 错误:unable to get certificate CRL,据我了解,这意味着 OpenSSL 仍在尝试从证书本身搜索 CRL,而不是使用我在本地加载的证书。
完成这项任务的正确方法是什么?
【问题讨论】:
标签: c api openssl certificate authenticode