我正在寻找使用OpenSSL库的吊销列表的方法,根据此声明(https://www.ibm.com/docs/en/ztpf/2020?topic=apis-ssl-ctx-load-verify-locations),我应该使用SSL_CTX_load_verify_locations(...).
您可以使用此函数来验证从远程应用程序接收的证书.还会加载证书吊销列表(CRL)(如果存在).
然而,当我阅读SSLCTX_LOAD_VERIFY_LOCATIONS的手册页时,没有提到吊销列表(https://www.openssl.org/docs/man3.2/man3/SSL_CTX_load_verify_locations.html).我想知道如何使用吊销列表的这个功能,最好是一些样本代码开始.
对于Cafile,只需在文件中包含相关的CRL(S),以及证书(S),每个作为一个PEM块.
对于CApath,每个CRL必须位于名为(通常通过符号链接),其中包含CA名称的截断散列加上后缀,如(现在)its own manpage中所述(以前,这是在manpage中的verify子命令,最初只是verify(1 ssl),然后是openssl-verify(1 ssl))-除了CRL的后缀是.r0 .r1等,而不仅仅是.0 .1;这在the man page for rehash中有记载,或者至少提到过.
请记住,默认情况下,OpenSSL证书验证不会执行任何CRL判断.要判断SSL/TLS对等方的证书/链,您需要将其设置为set flag(s) in a X509_VERIFY_PARAM object并将其传递给SSL_[CTX_]set1_param;对于在程序中其他地方验证的证书,您需要在适用的X509_STORE或X509_STORE_CTX中设置此参数.