我希望客户端向服务器发送证书。现在,我想使用如下所示的代码:
SSL_CTX *ctx;
STACK_OF(X509_NAME) *cert_names;
...
cert_names = SSL_load_client_CA_file("/path/to/CAfile.pem");
if (cert_names != NULL)
SSL_CTX_set_client_CA_list(ctx, cert_names);
else
error_handling();
...
但是如何创建 CA 文件?另外,如果我只想指定一个特定的 CA,我应该使用什么命令来发送它?
我已经阅读了SSL_CTX_set_client_CA_list(SSL_CTX *ctx,STACK_OF(X509_NAME) *list);
,但我不知道如何获取该*list
参数。在这种情况下,我只有 1 个 CA。
您可以使用以下命令创建自己的自签名 CA 文件,
openssl req -out CA.pem -new -x509
这将生成相同的CA.pem文件和私钥。
稍后,您可以从生成的 CA.pem 和私钥创建证书文件和密钥。
生成服务器证书和密钥:
openssl genrsa -out server.key 1024
openssl req -key server.key -new -out server.req
openssl x509 -req -in server.req -CA CA.pem -CAkey privkey.pem -CAserial file.srl -out server.pem
同样,您可以为客户端创建证书和密钥。
通常你会做这样的事情:
SSL_CTX_set_client_CA_list(CTX, SSL_load_client_CA_file("/path/to/cacert.crt"));
我不太确定您所说的"如何创建 CA 文件"是什么意思。CA 证书是已签署客户端证书的证书颁发机构的公用证书。要么您签名(在这种情况下,您必须是 CA 并且拥有证书),要么是第三方签名,在这种情况下,它将在您的系统上的受信任证书列表中(例如,在 Ubuntu 上,它在 /etc/ssl/certs
中)。