我正在从Linux移植到Windows的一些正在运行的C ++代码在Windows上失败,因为SSL_get_verify_result()正在返回X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY。
代码在Linux上使用SSL_CTX_set_default_verify_paths()告诉SSL只查看证书存储的标准默认位置。
是否可以让OpenSSL使用系统证书存储?
答案 0 :(得分:41)
我早点完成了。 希望这有帮助,如果这正是您正在寻找的。
PCCERT_CONTEXT结构中)。PCCERT_CONTEXT->pbCertEncoded]。d2i_X509()方法将此二进制缓冲区解析为X509证书对象。SSL_CTX_get_cert_store()方法获取OpenSSL信任存储区的句柄。X509_STORE_add_cert()方法将解析后的X509证书加载到此信任库中。答案 1 :(得分:15)
对于那些仍在努力解决这个问题的人来说,这里有一个示例代码可以帮助您入门:
#include <stdio.h>
#include <windows.h>
#include <wincrypt.h>
#include <cryptuiapi.h>
#include <iostream>
#include <tchar.h>
#include "openssl\x509.h"
#pragma comment (lib, "crypt32.lib")
#pragma comment (lib, "cryptui.lib")
#define MY_ENCODING_TYPE (PKCS_7_ASN_ENCODING | X509_ASN_ENCODING)
int main(void)
{
HCERTSTORE hStore;
PCCERT_CONTEXT pContext = NULL;
X509 *x509;
X509_STORE *store = X509_STORE_new();
hStore = CertOpenSystemStore(NULL, L"ROOT");
if (!hStore)
return 1;
while (pContext = CertEnumCertificatesInStore(hStore, pContext))
{
//uncomment the line below if you want to see the certificates as pop ups
//CryptUIDlgViewContext(CERT_STORE_CERTIFICATE_CONTEXT, pContext, NULL, NULL, 0, NULL);
x509 = NULL;
x509 = d2i_X509(NULL, (const unsigned char **)&pContext->pbCertEncoded, pContext->cbCertEncoded);
if (x509)
{
int i = X509_STORE_add_cert(store, x509);
if (i == 1)
std::cout << "certificate added" << std::endl;
X509_free(x509);
}
}
CertFreeCertificateContext(pContext);
CertCloseStore(hStore, 0);
system("pause");
return 0;
}
答案 2 :(得分:3)
不是不可能开箱即用。这需要额外的编程。使用OpenSSL,您有两个(开箱即用)选项:
答案 3 :(得分:1)
可以将OpenSSL用于常规操作,并仅将CryptoAPI用于证书验证过程。我在这里看到了几个关于这个主题的线索,大多数都是通过脚尖进行的。
使用CryptoAPI,您必须:
PEM,DER解码为CryptStringToBinary()
CERT_CONTEXT CertCreateCertificateContext()个对象
并通过众所周知/文档化的程序验证此表单中的证书。 (例如here at ETutorials。)
要完成最后一步,您还需要为HCERTSTORE,MY,ROOT系统商店中的一个初始化CA,或者迭代它们......关于你想要的行为。