SSL_CTX_set_cert_verify_callback 与 SSL_CTX_set_verify

Question

谁能告诉我 SSL_CTX_set_cert_verify_callback 和 SSL_CTX_set_verify 有什么区别？ 来自 OpenSSL 文档：

SSL_CTX_set_cert_verify_callback() 设置ctx的验证回调函数。从 ctx 创建的 SSL 对象继承调用 SSL_new(3) 时有效的设置。

和：

SSL_CTX_set_verify() 将 ctx 的验证标志设置为模式并指定要使用的 verify_callback 函数。如果不指定回调函数，verify_callback可以使用NULL指针。

所以我试图了解为每个回调发送哪个回调（从客户端）。

谢谢各位专家。

Answer 1

SSL_CTX_set_cert_verify_callback() 更改默认的证书验证函数。您可能不应该这样做。它非常复杂，您需要检查每个证书的签名，验证链，可能还检查 CRL。这是 SSL 中最复杂的部分。

SSL_CTX_set_verify()用于设置SSL的模式。如果模式是 SSL_VERIFY_PEER（2 路 SSL），您还应该在此函数中设置回调以进一步验证客户端证书（根据白名单检查 CN 等）。对于其他模式，不使用该CB。既然你说你处于客户端模式，你可能不需要担心这个调用。

Answer 2

SSL_CTX_set_cert_verify_callback() 意味着您正在指定一个函数来执行整个验证过程（遍历证书链依次验证每个证书）。 [根据下面的警告，您可能不想这样做]

另一方面，SSL_CTX_set_verify() 指定一个在默认验证器检查每个证书时调用的函数，并将 preverify_ok 设置为 0 或 1 以指示是否进行验证有关证书的有效。

来自 SSL_CTX_set_cert_verify_callback() 的文档

警告

不要混合验证回调
在此函数中描述为
verify_callback 函数期间调用
验证过程。后者
使用 SSL_CTX_set_verify(3) 设置
函数族。

提供完整的验证
程序包括证书
目的设置等是一个复杂的过程
任务。内置程序相当
强大，在大多数情况下应该
足以改变其行为
使用 verify_callback 函数。