我在Godaddy购买了证书。 从他们那里,我有三个文件:certificate.crt,certificatechain.crt,private.key
我有一个QT应用程序与SSL通信运行Flask的Ubuntu服务器。
网站正在https上运行。
我在Apache方面没有任何问题,但在这里我是如何使用证书的。
在/etc/apache2/site-enabled/MyFlaskApp.conf
SSLEngine on
SSLCertificateFile /etc/ssl/certificate.crt
SSLCertificateKeyFile /etc/ssl/private.key
SSLCertificateChainFile /etc/ssl/certificatechain.crt
在QT:
void InitSSL()
{
m_sslConfiguration.setProtocol(QSsl::TlsV1_2);
// Set certificate to configuration
QFile certFile;
certFile.setFileName(path_certificate);
if(certFile.open(QIODevice::ReadOnly))
{
QList<QSslCertificate> certificates;
QSslCertificate certificate(&certFile, QSsl::Der);
certificates.append(certificate);
m_sslConfiguration.setCaCertificates(certificates);
}
QFile certChain;
certChain.setFileName(path_certificate_chain);
if(certChain.open(QIODevice::ReadOnly))
{
QList<QSslCertificate> certificates;
QSslCertificate certificate(&certChain, QSsl::Der);
certificates.append(certificate);
m_sslConfiguration.setLocalCertificateChain(certificates);
}
QFile keyFile;
keyFile.setFileName(DATABASE_PATH + DATABASE_KEY_PATH_SSL);
if(keyFile.open(QIODevice::ReadOnly))
{
QSslKey key= QSslKey(keyFile.readAll(), QSsl::Rsa);
m_sslConfiguration.setPrivateKey(key);
}
}
我总是收到SSL错误说,证书链的根证书是自签名的,不受信任的&#34;。
这不是自签名的,我在GoDaddy购买了证书。
另外,让我知道如果QT应用在Windows或Ubuntu上运行会产生什么差异。
由于
答案 0 :(得分:1)
您似乎在将代码中的证书文件和链文件混合在一起。您将本地证书设置为CA证书链,将CA证书链文件设置为完整证书链。您还需要从链文件加载所有CA证书。我假设certificate.crt仅包含本地证书文件,certificatechain.crt仅包含中间证书而不包含本地证书。
另一方面,你想要实现什么目标?您是否启用了客户端和服务器端身份验证,因为您在客户端设置了本地证书和密钥?在这种情况下,你显然应该有两套证书。
无论如何,您可以尝试以下代码来配置您的Qt应用程序。 Qt是一个跨平台的环境,因此如果您在两个平台上配置了相同的openssl版本,则不应存在差异。
void InitSSL()
{
m_sslConfiguration.setProtocol(QSsl::TlsV1_2);
// Set certificate to configuration
QFile certificate_file(path_certificate);
if (!certificate_file.open(QIODevice::ReadOnly))
{
qWarning() << "error opening certificate file"
<< QDir::current().absoluteFilePath(certificate_file.fileName());
return;
}
QSslCertificate certificate(&certificate_file, QSsl::Der);
certificate_file.close();
if (!certificate.isValid())
{
qWarning() << "Certificate " << rCertificateFileName << " is not valid:"
<< "valid from " << certificate.effectiveDate().toString("yyyy-MM-dd")
<< " to " << certificate.expiryDate().toString("yyyy-MM-dd");
return;
}
m_sslConfiguration.setLocalCertificate(certificate);
// Set CA chain to configuration
QList<QSslCertificate> ca_certificates = QSslCertificate::fromPath(path_certificate_chain, QSsl::Der);
if (ca_certificates.isEmpty())
{
qWarning() << "error loading CA certificates from file " << path_certificate_chain;
return;
}
m_sslConfiguration.setCaCertificates(ca_certificates);
// Set key to configuration
QString key_file_path(DATABASE_PATH + DATABASE_KEY_PATH_SSL);
QFile key_file(key_file_path);
if (!key_file.open(QIODevice::ReadOnly))
{
qWarning() << "Error opening key file "
<< QDir::current().absoluteFilePath(key_file.fileName());
return;
}
QSslKey key(&key_file, QSsl::Rsa);
key_file.close();
if (key.isNull())
{
qWarning() << "Key " << key_file_path << " is null";
return;
}
m_sslConfiguration.setPrivateKey(key);
}
您可以使用QSslCertificate::fromPath或QSslCertificate::fromData从文件加载CA证书,而不是QSslCertificate::fromDevice。
您确定证书文件是DER格式吗?如果它们是PEM,您可以删除QSsl::Der,因为QSsl::Pem是默认值。