如何使用 m2crypto 在非 SSL 设置中验证 X509 证书链

Question

我试图弄清楚如何使用 m2crypto 验证从 X509 证书的公钥版本到一组已知根 CA 的信任链（当信任链可能任意长时）。 SSL.Context 模块看起来很有希望，只是我不是在 SSL 连接的上下文中执行此操作，而且我看不到传递给 load_verify_locations 的信息是如何使用的。

本质上，我正在寻找相当于以下的界面： openssl verify pub_key_x509_cert

m2crypto 中有类似的东西吗？

谢谢。

Answer 1

我修改了一个不同的 M2Crypto 补丁，这样我们就能够根据 CA 链验证 X509 证书，并且它允许使用证书吊销列表 (CRL)。

允许使用 M2Crypto 进行链验证的核心是在 X509_Store_Context 上公开“verify_cert()”。
基本流程是：

1. 将您的 CA/CRL 添加到 X509_Store
2. 使用 X509_Store_Context 验证感兴趣的证书

我的补丁增强了 CRL 支持并允许链验证。
https://bugzilla.osafoundation.org/show_bug.cgi?id=12954#c2

我们将此补丁用作 Pulp 的一部分，下面有一个 wiki 页面，其中分享了有关我们如何使用链进行验证的更多信息：
https://fedorahosted.org/pulp/wiki/CertChainVerification

Answer 2

有一个补丁可能需要稍微更新，并且需要单元测试供我检查。欢迎贡献！

另一种复杂的方法是创建一个内存中的 SSL 会话，您可以在其中进行验证。 Twisted 包装器有效地以这种方式工作； Twisted 充当哑网络管道，不了解任何数据，M2Crypto 加密/解密内存中的数据，同时进行证书验证。