我正在尝试使用存储在智能卡上的凭据在 C++ 中实现 SSL 客户端身份验证。
本质上,这意味着使用 openssl 库使用证书和私钥初始化 SSL 上下文,然后将此上下文用于所有未来的 https 连接。
我遇到的帮助我解决此问题的库是 libp11 及其 pkcs11-engine 模块,可在此处找到:https ://github.com/OpenSC/libp11 。
我的代码实际上与我们的网络服务器一起工作的场景是,通过 libp11 列出和检索证书,并使用 pkcs11 引擎通过 id 检索私钥:
PKCS11_enumerate_certs(slot->token, &certs, &ncerts);
X509 *cert = certs[0].x509;
EVP_PKEY *pkey = ENGINE_load_private_key(pkcs11_eng, "pkey_id", NULL, NULL);
if (!SSL_CTX_use_certificate(context->ctx, cert )) {
throw SSLError::getLastError();
}
if (!SSL_CTX_use_PrivateKey(context->ctx, pkey )) {
throw SSLError::getLastError();
}
if (!SSL_CTX_check_private_key(context->ctx)) {
throw SSLError::getLastError();
}
但是,为了保持一致性和简单起见,最好使用 libp11 进行这两种检索,因为这也将消除对整个其他组件(pkcs11 引擎)的使用。
我遇到的问题是在检索 pkey 时:
PKCS11_KEY *key = PKCS11_find_key(&certs[0]);
EVP_PKEY pkey = PKCS11_get_private_key(key)
并初始化 ssl,检查通过,但SSL_connect()
函数抛出以下错误:
error:80009005:Vendor defined:PKCS11_rsa_encrypt:General Error
基本上,私钥在通过引擎检索时有效,但在使用 libp11 时会引发错误,这很奇怪,因为在 github 上查看引擎的代码时,我注意到我正在使用相同的 p11 调用。
如果有人对此主题有任何经验并且可能知道这里发生了什么,那将对我有很大帮助。