使用cURL的HTTPS,使用带有capi引擎的openssl

时间:2011-05-19 03:28:31

标签: c curl openssl

我正在尝试使用带有OpenSSL 1.0.0d的cURL 7.21.1使用https,使用OpenSSL的内置capi引擎进行证书颁发机构检查,但它在curl_easy_perform()上返回CURLE_SSL_CACERT(60)。

#include <openssl/conf.h>
#include <openssl/engine.h>
#include <openssl/ssl.h>
#define CURL_NO_OLDIES
#define CURL_STATICLIB
#include <curl.h>

// Don't forget libeay32.lib, ssleay32.lib, curl.lib
#pragma comment(lib, "ws2_32.lib")
#pragma comment(lib, "wldap32.lib")
#pragma comment(lib, "crypt32.lib")

int main(int argc, char* argv[])
{
    OPENSSL_no_config();
    ENGINE_load_capi();
    // Same effect, despite ok = 1 both times:
    // ENGINE* capi = ENGINE_by_id("capi");
    // int ok = ENGINE_init(capi);
    // ok = ENGINE_register_complete(capi);

    CURLcode e = curl_global_init(CURL_GLOBAL_DEFAULT);
    CURL* curl = curl_easy_init();

    e = curl_easy_setopt(curl, CURLOPT_URL, "https://www.google.com/");
    e = curl_easy_perform(curl); // returns CURLE_SSL_CACERT
    return 0;
}

如果我使用以下配置测试“openssl s_client -connect www.google.com:443”:

openssl_conf = openssl_init

[openssl_init]
engines = engine_section

[engine_section]
capi = capi_config

[capi_config]
engine_id = capi
init=1

基于http://www.mail-archive.com/openssl-users@openssl.org/msg62249.html,我收到:

verify error:num=20:unable to get local issuer certificate

让我感到困惑的是,当我第一次编写实际程序时,它失败了,直到我添加ENGINE_load_capi()之前它才有同样的失败。 我想避免使用CA捆绑包,因为实际的程序可能在随机企业网络中运行,并且他们可能正在使用私有CA.

2 个答案:

答案 0 :(得分:1)

听起来像OpenSSL在查找默认证书存储时遇到问题?以下SO问题通过明确指定CA文件解决了类似的错误,但听起来您希望避免该配置。

OpenSSL unable to get local issuer certificate unless CAfile is explicitly specified

答案 1 :(得分:0)

也许您可以尝试在您有权访问域的文件中添加以下行。 curl_easy_setopt(curl,CURLOPT_SSL_VERIFYPEER,false);