SSL_CTX_use_certificate_file(ctx, "server.crt", SSL_FILETYPE_PEM) 失败
时间: 2023-10-08 09:12:57 浏览: 532
`SSL_CTX_use_certificate_file()` 函数在加载服务器证书文件时可能会失败。出现错误的原因可能有多种,常见的包括:
1. 证书文件路径错误:确保提供的证书文件路径是正确的。检查文件路径是否拼写正确,并确认证书文件是否存在于指定的路径中。
2. 证书文件格式错误:确认证书文件的格式是否符合要求。在这个例子中,`SSL_FILETYPE_PEM` 表示使用 PEM 格式的证书文件。如果证书文件不是 PEM 格式,可以尝试将 `SSL_FILETYPE_PEM` 更改为适当的类型,如 `SSL_FILETYPE_ASN1`。
3. 权限问题:确保应用程序具有足够的权限来读取证书文件。检查证书文件及其父目录的访问权限,并确保应用程序能够读取这些文件。
4. 证书文件内容错误:如果证书文件内容格式错误或损坏,加载过程也会失败。可以使用 OpenSSL 工具或命令来验证证书文件的有效性,例如 `openssl x509 -in server.crt -text -noout`。
如果在加载证书文件时仍然遇到问题,建议检查错误消息或日志以获取更详细的错误信息,以便进一步调试和解决问题。
相关问题
下面的代码 参数证书路径 对应的证书需要是什么格式的 #include <openssl/ssl.h> #include <openssl/bio.h> #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <string.h> int https_request(const char* cert_file, const char* payload) { SSL_CTX* ctx = NULL; SSL* ssl = NULL; BIO* bio = NULL; int ret = -1; SSL_library_init(); ctx = SSL_CTX_new(SSLv23_client_method()); if(!ctx) { fprintf(stderr, "SSL_CTX_new failed!\n"); goto END; } if(SSL_CTX_load_verify_locations(ctx, cert_file, NULL) <= 0) { fprintf(stderr, "SSL_CTX_load_verify_locations failed!\n"); goto END; } if(SSL_CTX_use_certificate_file(ctx, cert_file, SSL_FILETYPE_PEM) <= 0) { fprintf(stderr, "SSL_CTX_use_certificate_file failed!\n"); goto END; } if(SSL_CTX_use_PrivateKey_file(ctx, cert_file, SSL_FILETYPE_PEM) <= 0) { fprintf(stderr, "SSL_CTX_use_PrivateKey_file failed!\n"); goto END; } bio = BIO_new_ssl_connect(ctx); if(!bio) { fprintf(stderr, "BIO_new_ssl_connect failed!\n"); goto END; } if(BIO_set_conn_hostname(bio, "www.example.com:https") <= 0) { fprintf(stderr, "BIO_set_conn_hostname failed!\n"); goto END; } BIO_get_ssl(bio, &ssl); if(!ssl) { fprintf(stderr, "BIO_get_ssl failed!\n"); goto END; } SSL_set_mode(ssl, SSL_MODE_AUTO_RETRY); if(BIO_do_connect(bio) <= 0) { fprintf(stderr, "BIO_do_connect failed!\n"); goto END; } if(SSL_get_verify_result(ssl) != X509_V_OK) { fprintf(stderr, "SSL_get_verify_result error!\n"); goto END; } if(BIO_write(bio, payload, strlen(payload)) <= 0) { fprintf(stderr, "BIO_write failed!\n"); goto END; } char buf[1024] = {0}; int n = 0; while((n = BIO_read(bio, buf, sizeof(buf))) > 0) { fwrite(buf, 1, n, stdout); } ret = 0; END: if(bio) { BIO_free_all(bio); } if(ctx) { SSL_CTX_free(ctx); } return ret; }
该代码中的参数证书路径对应的证书需要是 PEM 格式的。其中 SSL_CTX_use_certificate_file 和 SSL_CTX_use_PrivateKey_file 函数加载的证书也需要是 PEM 格式的。在 SSL_CTX_load_verify_locations 函数中,如果第二个参数为 NULL,则使用系统默认的证书库。如果需要使用自定义的证书库,则可以通过第二个参数指定证书库的路径。
下面函数 第四个参数是什么意思, char *https_request(const char *url, const char *payload, const char *cert_path, const char *key_path, const char *ca_path) { SSL_library_init(); SSL_load_error_strings(); OpenSSL_add_all_algorithms(); // 加载 CA 证书 X509_STORE *store = X509_STORE_new(); X509_LOOKUP *lookup = X509_STORE_add_lookup(store, X509_LOOKUP_file()); X509_LOOKUP_load_file(lookup, ca_path, X509_FILETYPE_PEM); // 加载客户端证书和私钥 SSL_CTX *ctx = SSL_CTX_new(TLS_method()); if (ctx == NULL) { perror("SSL_CTX_new"); return ("A"); } // 设置支持的协议版本为 TLSv1.2 SSL_CTX_set_min_proto_version(ctx, TLS1_2_VERSION); SSL_CTX_set_max_proto_version(ctx, TLS1_2_VERSION); //SSL_CTX *ctx = SSL_CTX_new(TLSv1_2_client_method()); SSL_CTX_use_certificate_file(ctx, cert_path, SSL_FILETYPE_PEM); SSL_CTX_use_PrivateKey_file(ctx, key_path, SSL_FILETYPE_PEM); // 创建 SSL 连接 SSL *ssl = SSL_new(ctx); // 解析 URL char host[256]; char path[4096]; int port = 443; if (sscanf(url, "https://%255[^/]/%4095s", host, path) != 2) { fprintf(stderr, "Error: Invalid URL\n"); return NULL; } // 创建 TCP 连接 int sockfd = socket(AF_INET, SOCK_STREAM, 0); struct sockaddr_in dest_addr; dest_addr.sin_family = AF_INET; dest_addr.sin_port = htons(port); dest_addr.sin_addr.s_addr = inet_addr(host); // 建立连接 connect(sockfd, (struct sockaddr *)&dest_addr, sizeof(dest_addr)); // 将 SSL 连接和 TCP 连接关联 SSL_set_fd(ssl, sockfd); // 进行 SSL 握手 SSL_connect(ssl); // 发送 HTTPS 请求 char request[8192]; snprintf(request, sizeof(request), "POST %s HTTP/1.1\r\n" "Host: %s\r\n" "Content-Type: application/json\r\n" "Content-Length: %zu\r\n" "\r\n" "%s", path, host, strlen(payload), payload); SSL_write(ssl, request, strlen(request)); // 接收 HTTPS 响应 char buf[8192]; int bytes; size_t response_size = 0; char *response_buf = NULL; while ((bytes = SSL_read(ssl, buf, sizeof(buf))) > 0) { response_buf = realloc(response_buf, response_size + bytes + 1); memcpy(response_buf + response_size, buf, bytes); response_size += bytes; } response_buf[response_size] = '\0'; // 关闭 SSL 连接 SSL_shutdown(ssl); // 释放资源 SSL_free(ssl); close(sockfd); SSL_CTX_free(ctx); X509_STORE_free(store); ERR_free_strings(); return response_buf; }
第四个参数是客户端证书的路径,用于进行 HTTPS 请求时的身份认证。在一些安全性要求较高的场景中,客户端需要提供自己的身份证明以便服务端进行验证。客户端证书一般由 CA 机构签发,证明了客户端的身份和可信性。该函数中使用 SSL_CTX_use_certificate_file 和 SSL_CTX_use_PrivateKey_file 加载客户端证书和私钥,然后在 SSL 连接中使用这些证书和私钥进行身份认证。
阅读全文