调用SSL_connect时发生SSL_ERROR__SSL

时间:2012-09-06 08:13:29

标签: openssl

我用openssl编写代码来连接tls下的服务器。如果我从pem文件加载证书它可以正常工作。但是如果我从pfx文件加载证书,则在调用SSL_connect时会发生SSL_ERROR_SSL。我不知道加载pfx文件的过程是否错误。这个过程如下。

FILE* fp = fopen("cert.pfx", "rb");
PKCS12* p12 = d2i_PKCS12_fp(fp, NULL);
PKCS12_parse(p12, NULL, &private_key, &certificate, &ca_certificates);
SSL_CTX_use_certificate(ctx, certificate);
SSL_CTX_use_PrivateKey(ctx, private_key);
SSL_CTX_check_private_key(ctx);
SSL_CTX_add_extra_chain_cert(ctx, sk_X509_value(ca_certificates, i);
SSL_CTX_add_client_CA(ctx, sk_X509_value(ca_certificates, i);
SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);
SSL_CTX_set_mode(ctx, SSL_MODE_AUTO_RETRY);
...
SSL* ssl = SSL_new(ssl_context);
SSL_set_fd(ssl, sockfd);
SSL_connect(ssl);
...

我已经与其他客户端测试了pfx文件。它运作良好。所以问题不在于pfx文件。是否有任何openssl选项会使连接失败?或者我没有正确设置CA证书? pfx文件包含我自己签名的CA.但它可以与其他客户合作。

我在SSL_connect()失败后调用了ERR_get_error()。并获得证书验证失败。所以我认为上面加载pfx文件的过程有问题。也许我没有正确添加CA证书。任何人都可以告诉我加载pfx的正确过程。

请帮忙!

2 个答案:

答案 0 :(得分:1)

我发现,使用SSL_CTX_add_extra_chain_cert添加证书的顺序很重要。由PKCS12_parse添加证书的oder必须已从libssl 0.9.8更改为libssl1.0。 这就是我使用下面的代码切换到将它们添加到cert-store的原因。

X509_STORE * certStore = SSL_CTX_get_cert_store(ctx);
for(int i = 0; i < sk_X509_num(ca) ; i++)
{
    if (X509_STORE_add_cert(certStore, sk_X509_value(ca_certificates, i))==0)
    {
        ERR_print_errors_fp (stderr);
    }
}

答案 1 :(得分:0)

您的i变量是否为大小为sk_num(ca_certificates)的计数器?如果是,请尝试删除我认为不适合客户的行SSL_CTX_add_client_CA(不确定,很难)。

此外,在您的错误处理中,请输入以下行以找出原因:

SSL_load_error_strings(); // just once
char msg[1024];
ERR_error_string_n(ERR_get_error(), err_msg, sizeof(err_msg));
printf("%s\n", msg);`

或者,您也可以尝试直接获取SSL错误:

int ssl_error = SSL_get_verify_result(ssl);

可以在此page

中检查生成的int