Dav*_*sta 6 linux home-directory openssl certificate-authority
通常 SSL 证书安装在系统范围内(例如在 中/etc/ssl/certs)。是否可以以允许用户将证书放入其主目录(例如在~/.ssl/certs)中的方式配置 OpenSSL ?
一个用例可以是需要使用自签名证书(由他生成,因此受信任)访问服务的用户;在系统范围内安装自签名 CA 是错误的,因为其他用户不应该信任该 CA。
如果您的意思是将 OpenSSL库用于 SSL 的应用程序,则每个应用程序都可以指定(连接)文件和/或(散列链接)目录用于受信任的证书,或者它可以调用 OpenSSL 的默认值,或者它可以提供选择。在第一种情况下,您需要(能够并)配置应用程序要指定的内容。例如,在 curl 中使用--cacert和/或--capath根据http://curl.haxx.se/docs/manpage.html。在第二种情况下,编译入的 OpenSSL 默认值(系统和可能依赖于构建)可以被环境变量SSL_CERT_FILE和SSL_CERT_DIR分别覆盖。
如果您的意思是将 OpenSSL库用于其他事物(使用证书)的应用程序,例如 CMS/SMIME,则 OpenSSL 的 API 不那么简单;基本上,应用程序必须直接构建一个X509_STORE用于验证的对象,尽管我认为它仍然可以调用相同的默认值。
如果您的意思是命令行程序, openssl则图片会稍微复杂一些。一些实用程序(子命令)不使用信任库(甚至根本不使用证书);那些确实可以选择指定一个通常-CAfile和-CApath; 如果适用s_client,请参阅verify、ocsp等的手册页。但是,如果您不指定选项,则应该使用默认值的逻辑长期以来一直编码不一致;几个月前对支持列表进行了讨论,我相信修复程序(最终)已达成一致,但截至 2014 年 10 月 15 日 1.0.1j 尚未发布。
| 归档时间: |
|
| 查看次数: |
1890 次 |
| 最近记录: |