c++ - 在 Windows 上获取根 CA 证书的可靠方法-6ren

c++ - 在 Windows 上获取根 CA 证书的可靠方法

转载作者：搜寻专家更新时间：2023-10-31 00:29:44

25

4

我正在使用 boost asio 连接到我的有效证书(由根 CA 签名)。我使用的代码是 ssl client example可从 boost 文档获得。

我添加的唯一一行是:

boost::asio::ssl::context ctx(boost::asio::ssl::context::sslv23_client);
ctx.set_default_verify_paths(); <------------- Add default verification paths
ctx.set_password_callback(&password_callback);    

client c(io_service, ctx, iterator);

io_service.run();

问题是:将此代码与本地安装的 openSSH 拷贝(从 msi 安装程序安装)一起使用时，可以正确找到路径并验证我的证书。当我下载我自己的 openSSH 存储库拷贝并对其进行编译时，这一行不再有效，而且我没有根 CA 证书来验证我自己的证书(因此失败)。

因为我最终想在客户机器上分发这些客户端，所以我想避免设置环境变量，如 SSL_CERT_DIR 等。我如何使用 boost asio 可靠地找到根 CA 证书，或者从源代码编译中配置我的 openSSH 来找到它们？

最佳答案

您可以从 Windows CA 商店加载根 CA。它已经包含“默认”受信任的根 CA 证书，可以通过 certmgr 进行管理。 . windows下使用如下函数替换set_default_verify_paths:

#include <boost/asio/ssl/context.hpp>
#include <wincrypt.h>

void add_windows_root_certs(boost::asio::ssl::context &ctx)
{
    HCERTSTORE hStore = CertOpenSystemStore(0, "ROOT");
    if (hStore == NULL) {
        return;
    }

    X509_STORE *store = X509_STORE_new();
    PCCERT_CONTEXT pContext = NULL;
    while ((pContext = CertEnumCertificatesInStore(hStore, pContext)) != NULL) {
        X509 *x509 = d2i_X509(NULL,
                              (const unsigned char **)&pContext->pbCertEncoded,
                              pContext->cbCertEncoded);
        if(x509 != NULL) {
            X509_STORE_add_cert(store, x509);
            X509_free(x509);
        }
    }

    CertFreeCertificateContext(pContext);
    CertCloseStore(hStore, 0);

    SSL_CTX_set_cert_store(ctx.native_handle(), store);
}

这将从 windows ca 商店加载证书。它使用 d2i_X509 将它们转换为内部 OpenSSL 格式并将它们添加到 OpenSSL X509_STORE。然后 SSL_CTX_set_cert_store 将该存储附加到 boost ssl 上下文。您可以使用它来设置您的 ssl 上下文:

namespace ssl = boost::asio::ssl;
ssl::context ctx(ssl::context::tlsv12_client);
ctx.set_options(ssl::context::default_workarounds
                            | ssl::context::no_sslv2
                            | ssl::context::no_sslv3
                            | ssl::context::tlsv12_client);

#if BOOST_OS_WINDOWS
add_windows_root_certs(ctx);
#else
ctx.set_default_verify_paths();
#endif

ctx.set_password_callback(&password_callback);

client c(io_service, ctx, iterator);

io_service.run();

注意:您可能需要将 crypt32 添加到链接库中。

注2:BOOST_OS_WINDOWS需要Boost Predef

关于c++ - 在 Windows 上获取根 CA 证书的可靠方法，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/39772878/

25

4

0

文章推荐：带有智能指针的 C++ 访问者模式

文章推荐： c++ - 用c++求解非线性方程组

文章推荐： c++ - 为什么找不到这个 std::map 键？

文章推荐： python - 在 C++ 中创建一个 python 对象并调用它的方法

python - [可靠];使用多个字典
我正在尝试运行以下内容:: Press to see code - name: Snapshot BI nodes hosts: [CLUSTER-BI,CLUSTER-BI-REPL
c# - 可靠、持久堆栈的技术
在这里尝试心理重置:我尝试使用 MSMQ 创建一个可靠、持久的堆栈，但没有成功所以更一般地说: 我有生产者(一个 web 服务，虽然“只有一个”，但也是多线程的)/消费者(多个进程，根据需要设置)。
.net - 可靠(耐用)的分布式日志记录引擎
试图为分布式系统找到一个商业日志框架。此框架必须允许远程服务器上的 .NET 应用程序记录可以在中央位置收集的消息。如果可能，中央位置应将消息存储在 SQL Server 数据库中。要求: 能够在远
java - 安心服务可靠
我正在开发 Restful 服务，我们将在数据库中插入/更新新记录。由于REST使用HTTP进行通信，而HTTP并不可靠，我担心如果连接失败，请求可能无法发送到服务器。我在 link 中找到的建议
jquery - 安全、可靠、正确的服务器端密码验证响应应该是什么？
我正在尝试实现一个页面，员工可以在其中登录并添加、修改、更新工作案例。我有一个选择列表，其中包含从数据库加载的数据(员工姓名)。在这个数据库中，我有基本信息、用户名、ID、密码、电子邮件。选择列表
python - 不同的平方值方法会导致输出略有不同——哪种方法最准确/可靠？
我在 C 代码和 Python 代码之间(偶尔)得到略有不同的计算结果，并设法找到了一个例子。在 Python 中，我得到了这个: >>> print "%.55f" %\ ... (-2.49999
java - EJB 计时器是否应该持久/可靠？
例如如果我将计时器设置为每天午夜到期，如果一个“失火”(例如，由于服务器关闭而不会触发回调)会发生什么？我在文档中找不到它。有没有办法让这个定时器在服务器重启时立即触发回调？ PS:我了解 Quar
tensorflow - 在序列模型中使用填充时，Keras 验证准确性是否有效/可靠？
我有一组不同长度的非零序列，我正在使用 Keras LSTM 对这些序列建模。我使用 Keras Tokenizer 进行分词(分词从 1 开始)。为了使序列具有相同的长度，我使用了填充。填充示例:
没有传输安全性的 WCF 可靠 session 不会按时发生故障事件
我遇到了一个非常有趣的可靠 session 行为。我正在使用 netTcp 绑定(bind) + 双工 channel + 可靠 session 。当我尝试在 channel.faulted 上收听
sql - 可靠 SELECT + UPDATE 的事务与行标记
问题: 给定表 table_a 和 table_b，每当 table_a 更新时，我都需要可靠地(并发地)执行这样的操作: SELECT table_a 中的一些行。在应用程序代码中计算一些内容。
Redis - 使用 BRPOPLPUSH 时清理处理队列的更好方法(可靠)
我们目前的设计环境 Redis 2.8.17 我们已经实现了我们的可靠队列，使用类似于 redis 文档中描述的模式的模式，在 RPOPLPUSH 下但是，考虑到其阻塞性质，我们正在使用 BRPO
wcf - WCF 可靠 session 的问题(可靠消息传递)
在我们的 WCF 应用程序中，我正在尝试配置可靠的 session 。服务: 客户:
delphi - 为什么 FindWindow() 不是 100% 可靠？
我使用这个 Delphi 7 代码来检测 Internet Explorer 是否正在运行: function IERunning: Boolean; begin Result := FindWi
java - 可靠/支持良好的库作为 GPS 单元的接口(interface)？
我正在准备构建一个应用程序，该应用程序能够向 GPS 设备发送/接收航路点。通过一些谷歌搜索，我发现了很多可能对此目的有用的库: Java Chaeron GPS GPSLib4J Python Py
c# - 了解 WCF 可靠 session 重试行为
我有几个关于 WCF 可靠 session 可靠性的问题: WCF 是否在重试期间重新序列化消息？ 2。如果 1 是正确的 - 它是否在消息参数被处理后发生？ 3. 如果 2 是正确的 - 是否有任何
javascript - $(this)[0].defaultValue 的安全/可靠/跨浏览器兼容性如何
对于使用 $(this)[0].defaultValue 来确定文本框值是否已从原始值发生变化的一些反馈，我将不胜感激，例如 //keyUp event if($(this)[0].defaultVa
mongodb - 选择/配置数据库以获得高吞吐量、可靠、一致的写入吞吐量，牺牲延迟
我正在开发一个具有以下特征的实时应用程序: 数百个客户端将同时插入行/文档，每个客户端每隔几秒插入一行。大部分仅追加；几乎所有的行/文档，一旦插入，就永远不会改变。只有当数据刷新到磁盘时，客户端才
python - 在 Python 中对用户提供的字符串运行 .format() 是否安全/可靠？
场景:最终用户(不受信任的)提供了一个字符串，例如 "Hello, {name}!" .在服务器上，我想以 my_string.format(name="Homer") 的形式对该用户提供的字符串进行
ios - PushNotifications 在 iOS 中无法正常(可靠)工作
我在推送通知方面遇到一些问题。我们使用 Firebase 来推送通知。问题是我可以在一台 iPhone 上正确接收 PushNotifications，但无法在另一台 iPhone 上接收它们。我在
c++ - 这是在 c++ 可靠/安全中尝试更多 python 风格的装饰器吗？
从 python 到 c++，这是我能得到的最接近 python 的装饰器。这个解决方案感觉有点像 hack，因为在要装饰的函数之后运行的代码在 Timer 析构函数中是隐式调用的。不过它确实有效。

首页

博学

6Ren·AI

商城

c++ - 在 Windows 上获取根 CA 证书的可靠方法