M2Crypto 的 set_client_CA_list_from_file() 和 load_verify_info() 之间有什么区别？什么时候使用它们？

Question

这 M2加密库 其上有一些与CA相关的功能 SSL.Context 对象, ，但是文档非常不清楚何时使用某些功能以及为什么。事实上，几乎所有这些的文档都是“将 CA 证书加载到上下文中”，因此它们似乎都做了相同的事情。

有 一些 例子 两者都使用 set_client_CA_list_from_file() 和 load_verify_info(), ，但还有其他类似的功能，例如 load_client_ca() 和 load_verify_locations().

我正在编写客户端和服务器部分。我应该使用哪些功能以及为什么？他们具体是做什么的？

编辑：

查看代码我看到：

# Deprecated.
load_client_CA = load_client_ca = set_client_CA_list_from_file

和

# Deprecated.
load_verify_info = load_verify_locations

所以这有一点帮助。这将我们归结为两个函数： set_client_CA_list_from_file() 和 load_verify_locations(). 。但我仍然不能完全区分两者之间的区别。

Answer 1

如果您的服务器要求客户端提供证书，它可以通过指定调用的颁发者来限制谁是客户端证书的有效颁发者 set_client_CA_list_from_file. 。这实际上是非常罕见的。

客户端通过调用指定谁是有效的服务器证书颁发者 加载验证位置. 。几乎所有客户都应该这样做。

客户端和服务端都可以调用 加载证书 设置自己的证书。服务器几乎总是应该这样做。仅当服务器要求客户端提供证书时，客户端才应该执行此操作。

我建议你选择一个副本 OpenSSL 的网络安全 作者：John Viega、Matt Messier 和 Pravir Chandra，ISBN 059600270X，应该更详细地阐明这些问题。