所以我已經知道如何使用SSL_CTX_load_verify_locations()
指定可信證書的位置。現在的文件說以下內容:OpenSSL和可信系統證書
SSL_CTX_load_verify_locations()指定CTX的位置,在 這對於覈查目的CA證書的位置。可通過CAfile和CApath獲得的 證書是可信的。
而且還說:
當仰視CA證書,OpenSSL庫將首先搜索 在憑證檔案錯誤的證書,那麼這些在CApath。
這很好。但是沒有提到位於OPENSSLDIR中的可信系統證書。
- 在CAfile和CApath都失敗之後是否檢查系統證書?
- 撥打電話
SSL_CTX_set_default_verify_paths()
是否覆蓋SSL_CTX_load_verify_locations()
?或者它們並行工作,即可信系統證書和CAfile和CApath指定的證書? - 如果使用
SSL_CTX_get_cert_store()
將證書手動添加到證書存儲區,即完全不會調用SSL_CTX_load_verify_locations()
,那麼會發生什麼情況?是否只檢查商店證書?無論如何,在這種情況下禁用/啓用檢查受信任的系統證書?