我用openssl编写代码来连接tls下的服务器。如果我从pem文件加载证书它可以正常工作。但是如果我从pfx文件加载证书,则在调用SSL_connect时会发生SSL_ERROR_SSL。我不知道加载pfx文件的过程是否错误。这个过程如下。
FILE* fp = fopen("cert.pfx", "rb");
PKCS12* p12 = d2i_PKCS12_fp(fp, NULL);
PKCS12_parse(p12, NULL, &private_key, &certificate, &ca_certificates);
SSL_CTX_use_certificate(ctx, certificate);
SSL_CTX_use_PrivateKey(ctx, private_key);
SSL_CTX_check_private_key(ctx);
SSL_CTX_add_extra_chain_cert(ctx, sk_X509_value(ca_certificates, i);
SSL_CTX_add_client_CA(ctx, sk_X509_value(ca_certificates, i);
SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);
SSL_CTX_set_mode(ctx, SSL_MODE_AUTO_RETRY);
...
SSL* ssl = SSL_new(ssl_context);
SSL_set_fd(ssl, sockfd);
SSL_connect(ssl);
...
我已经与其他客户端测试了pfx文件。它运作良好。所以问题不在于pfx文件。是否有任何openssl选项会使连接失败?或者我没有正确设置CA证书? pfx文件包含我自己签名的CA.但它可以与其他客户合作。
我在SSL_connect()失败后调用了ERR_get_error()。并获得证书验证失败。所以我认为上面加载pfx文件的过程有问题。也许我没有正确添加CA证书。任何人都可以告诉我加载pfx的正确过程。
请帮忙!
答案 0 :(得分:1)
我发现,使用SSL_CTX_add_extra_chain_cert添加证书的顺序很重要。由PKCS12_parse添加证书的oder必须已从libssl 0.9.8更改为libssl1.0。 这就是我使用下面的代码切换到将它们添加到cert-store的原因。
X509_STORE * certStore = SSL_CTX_get_cert_store(ctx);
for(int i = 0; i < sk_X509_num(ca) ; i++)
{
if (X509_STORE_add_cert(certStore, sk_X509_value(ca_certificates, i))==0)
{
ERR_print_errors_fp (stderr);
}
}
答案 1 :(得分:0)
您的i变量是否为大小为sk_num(ca_certificates)的计数器?如果是,请尝试删除我认为不适合客户的行SSL_CTX_add_client_CA(不确定,很难)。
此外,在您的错误处理中,请输入以下行以找出原因:
SSL_load_error_strings(); // just once
char msg[1024];
ERR_error_string_n(ERR_get_error(), err_msg, sizeof(err_msg));
printf("%s\n", msg);`
或者,您也可以尝试直接获取SSL错误:
int ssl_error = SSL_get_verify_result(ssl);
可以在此page
中检查生成的int