我的soap客户端不接受我必须连接的服务的证书。它给出了错误:SSL/TLS certificate host name mismatch in tcp_connect。但Chrome确实接受了证书。我检查了chrome中的证书,我注意到它是* .domain.nl形式的通配符证书。是否需要其他配置步骤才能使gSoap / openssl接受此操作?
ssl init:
soap_ssl_client_context(&proxy,
SOAP_SSL_DEFAULT, /* use SOAP_SSL_DEFAULT in production code */
NULL, /* keyfile (cert+key) */
NULL, /* password to read the keyfile */
"c:\\test\\cacert.pem",
NULL, /* optional capath to directory with trusted certificates */
NULL
)
我正在测试的cacert.pem是http://curl.haxx.se/ca/cacert.pem
当我向选项添加SOAP_SSL_SKIP_HOST_CHECK时,一切正常。
答案 0 :(得分:1)
我使用gSOAP 2.8.22时遇到了同样的问题。寻找解决方案我找到了你的问题......但没有答案。所以我下载,构建并调试了“OpenSSL 1.0.2d 2015年7月9日”(当前最新版本)。
我尝试访问https://outlook.office365.com/ews/exchange.asmx。证书包含“证书主题Alt名称”通配符名称,如“* .office365.com”。我在stdsoap2.cpp中找到了处理此字段的代码,但是它没有检查通配符名称:
names = (GENERAL_NAMES*)X509_get_ext_d2i(peer, NID_subject_alt_name, NULL, NULL);
if (names)
{ val = i2v_GENERAL_NAMES(NULL, names, val);
sk_GENERAL_NAME_pop_free(names, GENERAL_NAME_free);
}
if (val)
{ int j;
for (j = 0; j < sk_CONF_VALUE_num(val); j++)
{ CONF_VALUE *nval = sk_CONF_VALUE_value(val, j);
if (nval && !strcmp(nval->name, "DNS") && !strcmp(nval->value, host))
{ ok = 1;
break;
}
}
sk_CONF_VALUE_pop_free(val, X509V3_conf_free);
}
然后我将代码更改为
names = (GENERAL_NAMES*)X509_get_ext_d2i(peer, NID_subject_alt_name, NULL, NULL);
if (names)
{ val = i2v_GENERAL_NAMES(NULL, names, val);
sk_GENERAL_NAME_pop_free(names, GENERAL_NAME_free);
}
if (val)
{ int j;
for (j = 0; j < sk_CONF_VALUE_num(val); j++)
{ CONF_VALUE *nval = sk_CONF_VALUE_value(val, j);
if (nval && !strcmp(nval->name, "DNS"))
{
if ( !strcmp( nval->value, host))
{
ok = 1;
break;
}
else if ( *nval->value == '*')
{
const char* const t = nval->value + 1;
if ( *t == '.')
{
const char* const h = strchr( host, '.');
if ( h && !strcmp( t, h))
{
ok = 1;
break;
}
}
}
}
}
sk_CONF_VALUE_pop_free(val, X509V3_conf_free);
}
此修复程序不处理UTF-8名称。为此,您可以查看代码以处理公共名称(搜索NID_commonName)。