OpenSSL Bỏ qua lỗi chứng chỉ tự ký

Question

Tôi đang viết một chương trình nhỏ với thư viện OpenSSL giả sử thiết lập kết nối với máy chủ SSLv3. Máy chủ này phân phối chứng chỉ tự ký, điều này khiến cho việc bắt tay thất bại với thông báo này: "lỗi bắt tay cảnh báo sslv3, chứng chỉ tự ký trong chuỗi chứng chỉ".

Có cách nào tôi có thể buộc kết nối tiếp tục không? Tôi đã thử gọi SSL_CTX_set_verify như sau:

SSL_CTX_set_verify(ctx, SSL_VERIFY_NONE, NULL); 

Nhưng dường như nó không thay đổi gì cả.

Mọi đề xuất?

Answer 1

Theo mặc định OpenSSL đi chuỗi chứng chỉ và cố gắng xác minh trên mỗi bước, SSL_set_verify() không thay đổi điều đó, xem tha người đàn ông trang. Trích dẫn nó:

Thủ tục xác minh thực tế được thực hiện bằng cách sử dụng một trong hai built-in thủ tục xác minh hoặc sử dụng một ứng dụng khác cung cấp chức năng xác minh thiết lập với SSL_CTX_set_cert_verify_callback (3).

Vì vậy, giải pháp là tạo ra một callback đơn giản và thiết lập một đó, để bạn ghi đè tất cả các giấy chứng nhận chuỗi đi bộ:

static int always_true_callback(X509_STORE_CTX *ctx, void *arg) 
{ 
    return 1; 
} 

SSL_CTX_set_cert_verify_callback(CTX, always_true_callback); 

Answer 2

Bạn đã thử đặt SSL_set_verify chưa?

SSL_set_verify(s, SSL_VERIFY_NONE, NULL); 

Answer 3

Bạn đã cố gắng đưa ra ứng dụng của bạn chứng chỉ CA của máy chủ để ứng dụng của bạn có thể xác minh chuỗi chứng chỉ?

Answer 4

Bạn có thể thử chuyển số gọi lại của riêng mình tới SSL_set_verify() và sau đó thực hiện xác minh của riêng bạn. Nó ít hơn lý tưởng vì tôi nghĩ bạn cần thực hiện tất cả xác minh và sau đó cho phép bỏ qua lỗi tự ký, nhưng bạn có thể tìm ra mã xác minh tiêu chuẩn nào từ nguồn OpenSSL và sau đó chỉ cần kéo nó vào callback xác minh của riêng bạn và cho phép các mã lỗi cụ thể ...

Answer 5

Kiểm tra những OpenSSL Ví dụ: http://www.rtfm.com/openssl-examples/

các wclient.c kết nối với bất kỳ trang https, ví dụ:

wclient -h www.yahoo.com -p 443 

Nếu bạn chạy nó với cài đặt mặc định, bạn sẽ gặp phải lỗi chứng chỉ (bạn có thể sử dụng cờ -i để bỏ qua kiểm tra chứng chỉ).

Để xác minh các chứng chỉ, bạn sẽ cần phải tải về chứng chỉ CA (Verisign, Thawte, Equifax, vv), vì vậy google tập tin này CAcert.pem, tải về và đổi tên nó để root.pem và bạn sẽ có thể kết nối với máy chủ web và xác thực chứng chỉ của máy chủ.

Answer 6

Mã khách hàng mẫu của tôi (link) hoạt động tốt với chứng chỉ máy chủ tự ký. Tôi có đoạn code dưới đây sau khi SSL_connect và có toàn quyền kiểm soát tự ký giấy chứng nhận chấp nhận trong khách hàng của tôi

SSL_CTX* ctx = SSL_CTX_new(SSLv3_method()); 

// TCP connection and SSL handshake ... 

/* Check the certificate */ 

rc = SSL_get_verify_result(ssl); 
if(rc != X509_V_OK) { 
    if (rc == X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT || rc == X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN) { 
    fprintf(stderr, "self signed certificate\n"); 
    } 
    else { 
    fprintf(stderr, "Certificate verification error: %ld\n", SSL_get_verify_result(ssl)); 
    SSL_CTX_free(ctx); 
    return 0; 
    } 
}