我正在使用 OpenSSL 来验证服务器的证书。由于 OpenSSL 没有任何内置的根 CA,因此我们必须自己与我们的软件一起分发根 CA 证书(我们静态链接 OpenSSL)。通常,这样做的方法是分发 PEM 格式的证书文件并调用 SSL_CTX_load_verify_locations。
但是,此函数采用文件/目录路径并直接从文件系统读取根证书文件。我们真的希望能够将证书硬编码到我们的二进制文件中,而不是将其保存到文件系统中。
换句话说,我们真的希望有一个像 SSL_CTX_load_verify_locations 这样的函数,它接受 X509* 而不是文件路径。
这样的东西存在吗?还是有一种简单的方法可以自己破解它?我们似乎找不到太多关于此的信息。
非常感谢您的任何建议!
最佳答案
SSL_CTX_get_cert_store() 函数可用于获取用于验证的证书存储的句柄 (X509_STORE *),X509_STORE_add_cert() 函数(在 openssl/x509_vfy.h 中)然后可用于将证书直接添加到该证书存储区。
关于C++/OpenSSL : Use root CA from buffer rather than file (SSL_CTX_load_verify_locations),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5052563/