为 libcurl 添加自签名 SSL 证书

Question

我在我的 C 应用程序中使用 libcurl 与我设置的 HTTPS 服务器进行通信。我在该服务器上生成了一个自签名证书，我希望将其与curl 一起使用。

我知道将 CURLOPT_SSL_VERIFYPEER 设置为 0 可以绕过 SSL 验证，但我希望将生成的证书添加到curl 的“有效”CA 证书中。

我尝试将CURLOPT_CAPATH和CURLOPT_SSLCERT设置为服务器SSL公钥的位置，但无法通过验证。

如何添加我自己的 CA/自签名证书以便 libcurl 能够成功验证它？

Answer 1

要添加自签名证书，请使用 CURLOPT_CAINFO

要检索站点的 SSL 公共证书，请使用

openssl s_client -connect www.site.com:443 | tee logfile

证书是由 ----BEGIN CERTIFICATE---- 和
---证书结束----。

将该证书保存到文件中，并以如下方式使用curl：

CURL* c = curl_easy_init();
curl_easy_setopt(c, CURLOPT_URL, "https://www.site.com");
curl_easy_setopt(c, CURLOPT_CAINFO, "/path/to/the/certificate.crt");
curl_easy_setopt(c, CURLOPT_SSL_VERIFYPEER, 1);
curl_easy_perform(c);
curl_easy_cleanup(c);

Answer 2

首先，您混合了“证书颁发机构”文件和“证书”文件，这让我感到困惑。

如何添加我自己的 CA/自签名证书，以便 libcurl 能够
验证成功了吗？

这可能被视为对上述答案的补充。
如果您想要添加自签名 CA（每个根 CA 都是自签名的），以便 libcurl 成功验证由 CA 生成的网站证书，然后继续阅读。

使用 CURLOPT_CAINFO，您需要传递在生成要验证的站点的（非 CA）证书时使用的“证书颁发机构”文件 (CA)。

（我不知道这个选项是否可以通过传递一个非CA证书来工作，文档对此并不是很清楚，并且之前的答案有2个赞成票，所以如果有人测试过它，请发表评论）

您也可以通过包含所使用的 CA 的证书颁发机构链文件（如果它不是根 CA）。

这是我发现的一个小教程，可以帮助您测试您的解决方案：

创建私有根 CA：
http://www.flatmtn.com/article/setting-openssl-create-certificates

创建站点证书：
http://www.flatmtn.com/article/setting-ssl-certificates-apache