Проблема в создании пользовательского хранилища сертификатов корневых сертификатов для SSL с помощью QT?

https://stackoverflow.com/questions/4831739

27-10-2019
|

Вопрос

Я разрабатываю свой пользовательский браузер в QT, используя QwebView, и я пытаюсь сделать свой собственный магазин корневых сертификатов доверенных сертификатов, которые взяты из проекта Mozilla.

Я использовал qsslsocket :: setdefaultcaceritifications (), чтобы переопределить сертификаты по умолчанию. Но я не могу загрузить https://www.gmail.com , где, как в Мозилле, это работает.

Я установил все необходимые корневые сертификаты для Gmail в свой магазин.

Кто -нибудь может направить меня?

Решение

Причина, по которой вы не можете подключиться, заключается в том, что сертификат SSL (с серийным 2F:DF:BC:F6:AE:91:52:6D:0F:9A:A3:DF:40:34:3E:9A) Представлено вам, когда вы подключаетесь к www.gmail.com, выдается для другого домена - www.google.com. Это не имеет ничего общего с магазином сертификатов Root CA, потому что сертификат корневого CA не требуется для сравнения поля CER CN CN с хостом, к которому вы пытаетесь подключиться. Вы можете игнорировать это и другие ошибки SSL, позвонив
void QNetworkReply::ignoreSslErrors () [virtual slot]
Чтобы избежать этой ошибки, вы можете подключиться непосредственно к https://mail.google.com в то домен, на который вы перенаправляете, когда пытаетесь подключиться к https://www.gmail.com

Ниже приведен рабочий пример, который покажет вам точные ошибки SSL и ошибки уровня QNAM. Либа B1, либо линия B2 должна быть активной одновременно. Вы можете прокомментировать строку A, если вы хотите посмотреть, что происходит с хранилищем сертификатов CA -сертификации по умолчанию (System). В этом коде используется два сертификата; Сертификат CA с сериалом 30:00:00:02 должен быть помещен в файл, вызванный ThawteSGCCA.crt и сертификат CA с сериалом 70:BA:E4:1D:10:D9:29:34:B6:38:CA:7B:03:CC:BA:BF должен быть помещен в файл, вызванный BuiltinObjectToken-VerisignClass3PublicPrimaryCertificationAuthority.crt.

#include <QtGui/QApplication>
#include <QtCore/QDebug>
#include <QtCore/QList>
#include <QtNetwork/QNetworkAccessManager>
#include <QtNetwork/QNetworkRequest>
#include <QtNetwork/QNetworkReply>
#include <QtNetwork/QSslConfiguration>
#include <QtNetwork/QSslSocket>
#include <QtNetwork/QSslError>
#include <QtWebKit/QWebFrame>
#include <QtWebKit/QWebPage>



class Handler : public QObject{
    Q_OBJECT

public slots:

    void slotLoadFinished(bool ok) {
        if (ok) {
            qDebug() << "Page size: " << static_cast<QWebPage*>(sender())->mainFrame()->toHtml().size();
        }
    }

    void slotFinished(QNetworkReply * reply) {
        if (reply->error() == QNetworkReply::NoError) {
            qDebug() << "connected to " << reply->url();
            qDebug() << "HTTP status: " << reply->attribute(QNetworkRequest::HttpStatusCodeAttribute).toInt();

        } else {
            qDebug() << "error while connecting to " << reply->url();
            qDebug() << "error code: " << reply->error();
            qDebug() << "error string: " << reply->errorString();
        }
    }

    void slotSslErrors(QNetworkReply * reply, QList<QSslError> const & errors) {
        qDebug() << "SSL errors: " << errors;
        qDebug() << "peer's certificate: "
                 << reply->sslConfiguration().peerCertificate();
    }

};


int main(int argc, char *argv[])
{
    QApplication app(argc, argv);
    Handler handler;

    // CA certs for:
    // 1. cert with Subject.CN == mail.google.com cert with serial 1f:19:f6:de:35:dd:63:a1:42:91:8a:d5:2c:c0:ab:12
    // 2. cert with Subject.CN == www.google.com cert with serial 2F:DF:BC:F6:AE:91:52:6D:0F:9A:A3:DF:40:34:3E:9A
    QList<QSslCertificate> CAcerts =
            // serial 30:00:00:02
            QSslCertificate::fromPath("ThawteSGCCA.crt") +
            // serial 70:BA:E4:1D:10:D9:29:34:B6:38:CA:7B:03:CC:BA:BF
            QSslCertificate::fromPath("BuiltinObjectToken-VerisignClass3PublicPrimaryCertificationAuthority.crt");

    qDebug() << "root CA certificates:\n"
             << CAcerts
             << "\n";
    QSslSocket::setDefaultCaCertificates(CAcerts); // line A

    QWebPage page;
    // OK because cert with serial 1f:19:f6:de:35:dd:63:a1:42:91:8a:d5:2c:c0:ab:12 is for host mail.google.com
//  page.mainFrame()->load(QUrl("https://mail.google.com")); // line B1
    // SSL ERROR "The host name did not match any of the valid hosts for this certificate"
    // because cert with serial 1f:19:f6:de:35:dd:63:a1:42:91:8a:d5:2c:c0:ab:12 is NOT for www.gmail.com
    page.mainFrame()->load(QUrl("https://www.gmail.com")); // line B2

    QObject::connect(page.networkAccessManager(), SIGNAL(finished(QNetworkReply*)), &handler, SLOT(slotFinished(QNetworkReply*)));
    QObject::connect(page.networkAccessManager(), SIGNAL(sslErrors(QNetworkReply*,QList<QSslError>)), &handler, SLOT(slotSslErrors(QNetworkReply*,QList<QSslError>)));
    QObject::connect(&page, SIGNAL(loadFinished(bool)), &handler, SLOT(slotLoadFinished(bool)));

    return app.exec();
}

#include "main.moc"

Лицензировано под: CC-BY-SA с атрибуция

Не связан с StackOverflow