调用SSL_connect时发生SSL_ERROR__SSL

Question

我用openssl编写代码来连接tls下的服务器。如果我从pem文件加载证书，它可以正常工作。但是如果我从pfx文件加载证书，它在调用SSL_connect时发生SSL_ERROR_SSL。我不知道加载pfx文件的过程是否错误。流程如下所示。

FILE* fp = fopen("cert.pfx", "rb");
PKCS12* p12 = d2i_PKCS12_fp(fp, NULL);
PKCS12_parse(p12, NULL, &private_key, &certificate, &ca_certificates);
SSL_CTX_use_certificate(ctx, certificate);
SSL_CTX_use_PrivateKey(ctx, private_key);
SSL_CTX_check_private_key(ctx);
SSL_CTX_add_extra_chain_cert(ctx, sk_X509_value(ca_certificates, i);
SSL_CTX_add_client_CA(ctx, sk_X509_value(ca_certificates, i);
SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);
SSL_CTX_set_mode(ctx, SSL_MODE_AUTO_RETRY);
...
SSL* ssl = SSL_new(ssl_context);
SSL_set_fd(ssl, sockfd);
SSL_connect(ssl);
...

我已经与其他客户测试了pfx文件。它工作得很好。所以问题不在于pfx文件。是否有任何openssl选项会导致连接失败？或者我没有正确设置CA证书？pfx文件包含我自己签名的CA。但它可以与其他客户端一起工作。

我在SSL_connect()失败后调用了ERR_get_error()。并获得证书验证失败。所以我认为在上面加载pfx文件的过程中有一些错误。也许我没有正确添加CA证书。谁能告诉我加载pfx的正确进程。

请帮帮我！

Answer 1

你的i变量是sk_num(ca_certificates)大小的计数器吗？如果是，试着删除我认为不适合客户端的行SSL_CTX_add_client_CA (不确定，很难)。

另外，在您的错误处理中，放入以下几行以找出原因：

SSL_load_error_strings(); // just once
char msg[1024];
ERR_error_string_n(ERR_get_error(), err_msg, sizeof(err_msg));
printf("%s\n", msg);`

或者，您也可以尝试直接获取SSL错误：

int ssl_error = SSL_get_verify_result(ssl);

可以在此page中检查生成的int

Answer 2

我发现，使用SSL_CTX_add_extra_chain_cert添加证书的顺序确实很重要。PKCS12_parse添加证书的顺序必须从libssl0.9.8更改为libssl1.0。这就是为什么我使用下面的代码将它们添加到cert-store。

X509_STORE * certStore = SSL_CTX_get_cert_store(ctx);
for(int i = 0; i < sk_X509_num(ca) ; i++)
{
    if (X509_STORE_add_cert(certStore, sk_X509_value(ca_certificates, i))==0)
    {
        ERR_print_errors_fp (stderr);
    }
}