5

チェーンが任意に長くなる可能性がある場合に、m2cryptoを使用して、X509証明書の公開鍵バージョンから既知のルートCAのセットの1つに戻る信頼のチェーンを検証する方法を理解しようとしています。SSL.Contextモジュールは、SSL接続のコンテキストでこれを行っておらず、load_verify_locationsに渡された情報がどのように使用されているかがわからないことを除いて、有望に見えます。

基本的に、私は次のものと同等のインターフェースを探しています:openssl verify pub_key_x509_cert

m2cryptoにそのようなものはありますか?

ありがとう。

4

2 に答える 2

2

別のM2Cryptoパッチを変更しました。これにより、一連のCAに対してX509証明書を検証でき、さらに証明書失効リスト(CRL)を使用できるようになります。

M2Cryptoでチェーン検証を許可することの核心は、X509_Store_Contextで「verify_cert()」を公開することです。基本的なフローは次のとおりです。

  1. CA/CRLをX509_Storeに追加します
  2. X509_Store_Contextを使用して、対象の証明書を確認します

私のパッチは、CRLサポートを強化するだけでなく、チェーン検証を可能にします。 https://bugzilla.osafoundation.org/show_bug.cgi?id=12954#c2

このパッチをPulpの一部として使用しています。以下に、チェーンを使用した検証の実行方法に関する詳細情報を共有するwikiページがあります: https ://fedorahosted.org/pulp/wiki/CertChainVerification

于 2012-01-25T18:05:51.333 に答える
1

少し更新する必要があるかもしれないパッチがあり、それをチェックインするためにユニットテストが必要になります。貢献を歓迎します!

もう1つの複雑な方法は、検証を行うメモリ内SSLセッションを作成することです。ツイストラッパーはこのように効果的に機能します。Twistedは、データについて何も知らなくてもダムネットワークパイプとして機能し、M2Cryptoはメモリ内のデータを暗号化/復号化し、側で証明書の検証を行います。

于 2010-04-14T03:43:34.363 に答える