SSL_CTX_set_verify()回调和根CA的深度

Question

我用C语言为SSL_CTX_set_verify()编写自己的回调函数，以执行额外的证书检查(当preverify_ok参数为1时)。但是，我只想对根CA证书执行检查。

在回调中，函数X509_STORE_CTX_get_error_depth() gets the current depth，其中深度为0是叶证书。但是如何才能找到根CA证书的深度呢？也就是说，第一次调用回调的深度，以便将其与当前深度进行比较。

是的，有SSL_CTX_get_verify_depth()函数，但是返回深度限制(如果有的话)，所以这不是我想要的。

Answer 1

在根CA的情况下，存储上下文中的当前证书和颁发者证书将是相同的。因此，在您的代码中进行下面这样的检查应该可以做到这一点：

if(X509_STORE_CTX_get0_current_issuer(ctx) == X509_STORE_CTX_get_current_cert(ctx))
{
  //Do the special root certificate related checks.
}