使用 OpenSSL 进行基于 X.509 证书的身份验证（不使用套接字）

Question

OpenSSL 中是否有 SSL_set_connect_state()/SSL_set_accept_state() 的替代方案用于基于 X.509 证书的身份验证？

问题是在我的应用程序中，客户端和服务器不使用套接字进行通信，并且不可能在它们之间建立直接连接。因此，我希望 OpenSSL 能够“公开”中间 SSL 上下文建立消息，然后将其传达给另一端的一方。

感谢您的帮助！

Answer 1

OpenSSL BIO 接口可用于此目的。

1. 使用BIO_new_bio_pair()创建一个连接的 BIO 对。 SSL 例程将读取和写入一个 BIO，您的应用程序将读取和写入另一个 BIO（允许它通过所需的任何方法将数据传递到另一端）。

2. 使用SSL_set_bio()一个新的 SSL 对象，用于将读取和写入 BIO 设置为生成的一对 BIO 之一。

3. 在该对中的另一个 BIO 上使用 BIO_read() 和 BIO_write() 来读取和写入 SSL 协议数据。

4. 照常使用 SSL_accept()、SSL_connect()、SSL_read() 和 SSL_write() SSL 对象。

Answer 2

是的，您可以使用与 SSL 套接字层内容相同的 X.509 验证例程。

http://openssl.org/docs/crypto/x509.html

文档似乎这里有点欠缺......（你会认为他们已经完成了 1.0 的所有工作）。我不能说我熟悉该库的这方面，但 openssl 附带了一个命令行 x509 验证工具。您应该能够查看其源代码以了解如何执行此操作。

http://openssl.org/docs/apps/verify.html