问OpenSSL与可信系统认证

EN

好吧..。所以我试了一下，找出了我需要知道的。

设置：

• 双方启用对等验证的简单客户端和服务器
• 我创造了两个CA。让我们称他们为SS (自签名)和TR (可信)。
• SS用于创建客户端(SS_C)和服务器(SS_S)证书。
• TR用于创建客户端(TR_C)和服务器(TR_S)证书。
• TR被散列并添加到默认CA目录中。

万无一失测试：

• openssl verify of SS_C和SS_S失败，除非我指定CAfile
• openssl verify of TR_C和TR_S成功 结果如预期

客户机/服务器基本测试：

• 没有验证路径调用: SS失败- TR失败
• 调用SSL_CTX_set_default_verify_paths：SS失败- TR成功
• 用SS作为SSL_CTX_load_verify_locations调用CAfile: SS成功-- TR失败 结果如预期

现在，让我们来谈谈更有趣的事情。

对SSL_CTX_set_default_verify_paths 和 SSL_CTX_load_verify_locations**:**的调用

在这种情况下，对SSL_CTX_load_verify_locations的调用总是以SS作为CAfile。

• 无论调用的顺序如何，TR都会成功。
• SS成功了--不管呼叫的顺序如何 有趣的结果--至少对我来说 现在，我可以预期使用证书存储区也会正常工作。

使用X509_STORE 而不是 SSL_CTX_load_verify_locations**:**的

在本例中，我创建了SS的字节数组，获取上下文的证书存储，并将SS添加到其中。

• 只获取上下文的存储并将SS添加到其中: SS成功-- TR失败
• 只有获取上下文的存储(以测试它是否添加了默认的受信任证书)：SS失败- TR失败
• 调用SSL_CTX_set_default_verify_paths + get上下文的存储并将SS添加到其中: SS成功-- TR成功 很好..。它确实起作用