证书是否为 SSL 连接/状态“点”？如果我在 OpenSSL 中加载新证书来更改？

Question

我正在构建一个应用程序，使用户能够连接到同一服务器。重要的是确保每个用户都有自己的证书/私钥用于加密，而不是应用程序/设备使用自己的证书/私钥。

现在我从 OpenSSL 网站文档中知道，他们的 OpenSSL 内部证书存储可以保存 RSA 密码的一对证书/密钥。我的问题是这样的：

假设我有一个名为 ssl1 的 SSL 结构，它是我从 SSL_CTX 创建的，其中我没有设置要在 SSL_CTX 中使用的证书/密钥（因此不会继承证书/密钥） 。然后，我继续为与某个用户关联的 ssl1 设置证书/密钥。然后假设我有另一个从同一个 SSL_CTX 创建的名为 ssl2 的 SSL 结构。然后，我继续为与第一个用户不同的用户关联的 ssl2 设置证书/密钥。

如果此时我在 ssl1 上调用 SSL_connect() API，它会使用我为 ssl2 设置的证书/密钥吗？我问，因为商店说它只保存一个证书/密钥对，并且我最后加载了 ssl2 的证书/密钥，因此我认为它会覆盖我首先为 ssl1 加载的证书/密钥强>。

感谢您阅读我的帖子。我感谢您提供的任何帮助/智慧/指示。

Answer 1

据我了解，SSL_CTX 充当 SSL 对象的模板。因此，当您创建新的 SSL 对象时，它会继承创建它的 SSL_CTX 的属性/属性。 此处清楚地提到了这一点，

因此对于您的问题，ssl1< /strong> 和 ssl2 对象将使用自己的证书/密钥。

Answer 2

首先，我对您要求的实施细节感到困惑。其次，我无法想到不同的密钥会有用的情况，除非您尝试通过用户的证书对用户进行身份验证——您显然没有这样做（用户需要不同的加密，而不是身份验证。

我相信什么您真正想要做的是使用提供完美前向保密的设置来建立连接。也就是说，您想要使用的 TLS 密码均具有以 TLS_DHE_ 开头的名称。这些密码使用 Diffie-Hellman 密钥交换，从而使服务器密钥的作用基本上是服务器对用户的身份验证。