文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >增强asio证书验证

增强asio证书验证
EN

Stack Overflow用户
提问于 2021-06-24 01:10:39
回答 1查看 221关注 0票数 1

我正在为一个嵌入式linux系统写代码,我有一些基于boost beast websockets的代码,它能够成功地连接到几个不同的TLS加密网站。然而,我发现了另一个,它不工作,但只在嵌入式linux平台上。

我是这样设置上下文的;

代码语言:javascript
复制
boost::asio::ssl::context tlsCtx {boost::asio::ssl::context::tlsv12_client};
tlsCtx.set_options(boost::asio::ssl::context::default_workarounds
                 | boost::asio::ssl::context::no_sslv2
                 | boost::asio::ssl::context::no_sslv3
                 | boost::asio::ssl::context::no_tlsv1
                 | boost::asio::ssl::context::no_tlsv1_1
                 | boost::asio::ssl::context::single_dh_use);

tlsCtx.set_default_verify_paths();

并且该代码还执行

代码语言:javascript
复制
 ws_.next_layer().set_verify_mode(boost::asio::ssl::verify_peer);

这段代码可以连接到运行Ubuntu的我自己的笔记本电脑上的网站。但是,在嵌入式设备上,使用certificate verify failed会失败。最初,我认为根授权证书并不存在于嵌入式系统上,而是存在于我的系统上。然而,两者都在使用ca-certificates包。我在我的笔记本电脑上发现,文件/etc/ssl/certs/ca-certificates.crt包含用于在网站上验证证书的根授权证书。

将代码更改为

代码语言:javascript
复制
boost::asio::ssl::context tlsCtx {boost::asio::ssl::context::tlsv12_client};
tlsCtx.set_options(boost::asio::ssl::context::default_workarounds
                 | boost::asio::ssl::context::no_sslv2
                 | boost::asio::ssl::context::no_sslv3
                 | boost::asio::ssl::context::no_tlsv1
                 | boost::asio::ssl::context::no_tlsv1_1
                 | boost::asio::ssl::context::single_dh_use);

tlsCtx.load_verify_file("/etc/ssl/certs/ca-certificates.crt");

适用于我的笔记本电脑和嵌入式设备。然而,我需要支持所有的TLS加密网站,而不仅仅是这个。因此,我使用set_default_verify_paths来包含ca-certificates.crt文件中没有包含的根颁发机构证书。

所以把代码更新到这里;

代码语言:javascript
复制
boost::asio::ssl::context tlsCtx {boost::asio::ssl::context::tlsv12_client};
tlsCtx.set_options(boost::asio::ssl::context::default_workarounds
                 | boost::asio::ssl::context::no_sslv2
                 | boost::asio::ssl::context::no_sslv3
                 | boost::asio::ssl::context::no_tlsv1
                 | boost::asio::ssl::context::no_tlsv1_1
                 | boost::asio::ssl::context::single_dh_use);

tlsCtx.set_default_verify_paths();
tlsCtx.load_verify_file("/etc/ssl/certs/ca-certificates.crt");

我曾假设它可以支持所有场景,但它在我的开发笔记本电脑上工作,但使用嵌入式设备时,我得到了certificate verify failed

我知道正确的根授权证书在嵌入式系统上,但当我也包含所有默认验证路径时,它似乎不想工作。有人知道为什么会这样吗?

x509
boost-beast
c++
linux
boost-asio
EN

回答 1

Stack Overflow用户

发布于 2021-06-24 18:17:02

我会在设备上添加缺失的根证书。因为奇怪的是/etc/ssl/certs已经包含了它的.crt文件,所以您可能只需要重新运行c_rehash

取决于你的发行版(你奇怪地忽略了吗?)您还可以使用像update-ca-certificates这样的实用程序来执行此操作,甚至更多

票数 1
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/68104353

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档