1

我正在尝试使用 X509 certs/M2Crypto.SSL 进行对等身份验证

  1. 我在客户端 (hostC) 上生成一个根 CA (issuer & subject = ca_hostC)

  2. 我使用此 CA 在本地签署客户端证书(颁发者:ca_hostC,主题:hostC)

  3. 我在 hostS 上生成 CSR,将其复制到 hostC,使用步骤 1 中的根 CA 对其进行签名,然后将 ca_cert 和签名证书移动到 hostS。

我生成上下文:

import M2Crypto.SSL as SSL
ctx = SSL.Context('tlsv1')
ctx.load_cert('x.crt', 'private/x.key')
ctx.load_verify_locations(cafile='ca.crt')
ctx.set_verify ( SSL.verify_peer | SSL.verify_fail_if_no_peer_cert , 0, verify_callback)

我连接:

s = SSL.Connection(ctx)
s.connect(server_address)

但在我得到的客户端上

ERROR: 20
unable to get local issuer certificate

但是,当我打印从服务器收到的证书的主题和颁发者时,我看到了正确的信息。此外,可以从 openssl 命令行实用程序验证证书。

有什么想法吗??

4

1 回答 1

0

想通了——不知何故,我认为 depth=0 意味着无限深度。来自openssl 文档

depth:设置在验证过程中使用链中深度证书的限制。如果证书链长于允许的长度,则忽略超出限制的证书。生成的错误消息好像这些证书不存在,很可能会发出X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY 。深度计数是

level 0: peer certificate, 
level 1: CA certificate, 
level 2: higher level CA certificate,

等等。将最大深度设置为 2 允许级别 0、1 和 2。默认深度限制为 9,允许对等证书和额外的 9 个 CA 证书。

于 2012-03-12T18:50:11.710 回答