配置OpenSSL存储

Question

我正在尝试使用C中的OpenSSL来对证书进行OPC UA验证。因此，我有多个存储在不同目录中的证书。 目录是：

• CertificateTrustListDir：存储受信任的CA证书的文件夹。
• CertificateRevocationListDir：存储受信任CA的吊销列表的文件夹。
• IssuersCertificatesDir：存储颁发者证书的文件夹。颁发者证书是验证信任列表中CA证书完整信任链所必需的CA证书。
• IssuersRevocationListDir：应该存储颁发者CA的吊销列表的文件夹。

我正在研究this example，发现了函数SSL_CTX_load_verify_locations。不幸的是，我只能使用此方法设置受信任CA的位置。

是否可以告诉OpenSSL以假定的方式使用目录？

此致

ckmk14

Answer 1

我不确定，但这是我做的事情：

使用X509_STORE_CTX_init函数，我可以传递X509_STORE以及受信任的证书（CertificateTrustListDir）和CRLS（CertificateRevocationListDir + IssuersRevocationListDir）。 IssuersCertificatesDir的证书可以与X509_STORE_CTX_init函数的链参数一起作为堆栈传递。