我使用OpenSSL(在Ubuntu 12.04上用C ++编写)编写了一个SOAP客户端,但它目前无需检查服务器安全证书即可运行。这是我用来设置连接和检查证书的功能
bool bInitialiseSSL(SSL_CTX* &ctx, SSL* &ssl, BIO* &bio)
{
ctx = SSL_CTX_new(SSLv23_client_method());
bio = BIO_new_ssl_connect(ctx);
if (bio == NULL) {
ERR_print_errors_fp(stderr);
SSL_CTX_free(ctx);
return false;
}
BIO_get_ssl(bio, &ssl);
SSL_set_mode(ssl, SSL_MODE_AUTO_RETRY);
char target[] = "api.betfair.com:https";
BIO_set_conn_hostname(bio, target);
BIO_set_nbio(bio,1);
while (1) {
if (BIO_do_connect(bio) <= 0) {
if (!BIO_should_retry(bio)) {
cout << "Connect failed." << endl;
BIO_free_all(bio);
SSL_CTX_free(ctx);
return false;
}
} else {
break;
}
}
if (BIO_do_handshake(bio) <= 0) {
BIO_free_all(bio);
SSL_CTX_free(ctx);
return false;
}
X509 *cert;
bool bValid = false;
cert = SSL_get_peer_certificate(ssl);
if ( cert != NULL ) {
long res = SSL_get_verify_result(ssl);
if (res == X509_V_OK) {
bValid = true;
} else {
cout << "Error in security validation: " << res << endl;
}
X509_free(cert);
}
return bValid;
}
这样可以正常工作,但SSL_get_verify_result的返回值是20,对应于
X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY:无法获得本地 发行人证书
我已经阅读了一些OpenSSL文档的功能,但它并不是特别用户友好。我看了很多网络教程,但我看不出我做错了什么。在我尝试实施证书检查之前,我的软件工作得很好,但我看不到我需要做什么。我是否需要在我的机器上配置设置?服务器是更好的,这应该是非常安全的,我发现很难相信他们没有有效的SSL证书。如果有人能告诉我我做错了什么,我将非常感激。
答案 0 :(得分:1)
这取决于服务器的证书。
代码:
ctx = SSL_CTX_new(SSLv23_client_method());
// You can load CA certs into SSL_CTX
SSL_CTX_load_verify_locations(ctx, cafile, NULL); // cafile: CA PEM certs file
您可以从cURL网站CA Certs from mozilla.org
下载公共CA证书文件SSL_CTX_use_certificate_file
代替SSL_CTX_load_verify_locations
。