在验证 SSL 客户端连接时,服务器希望客户端提供证书。在典型的企业 Windows 平台上,这些证书位于 Windows 加密存储的“个人”部分(使用以下命令打开:“certmgr.msc”)
OpenSSL 不使用这些证书。 Windows 确实提供了一个 WinHTTP API,它提供了创建 SSL 连接的能力,但它们必须遵守 HTTP 请求/响应协议,是否有人知道 Windows API 允许程序员创建一个 SSL 连接,该连接使用 Windows 加密存储证书进行身份验证,但是可以像 OpenSSL 套接字一样使用吗?谢谢。
【问题讨论】:
Openssl 支持多种加密引擎,其中之一是 Windows CAPI 引擎。
这是我机器上openssl engine 的结果。 CAPI 是最后一个:
(dynamic) Dynamic engine loading support
(4758cca) IBM 4758 CCA hardware engine support
(aep) Aep hardware engine support
(atalla) Atalla hardware engine support
(cswift) CryptoSwift hardware engine support
(chil) CHIL hardware engine support
(nuron) Nuron hardware engine support
(sureware) SureWare hardware engine support
(ubsec) UBSEC hardware engine support
(padlock) VIA PadLock (no-RNG, no-ACE)
(gost) Reference implementation of GOST engine
(capi) CryptoAPI ENGINE
OpenSSL engine(3) man page 显示了有关如何在代码中选择引擎的示例代码。构建 OpenSSL 可能有点棘手。这是一个批处理文件,它将生成一个静态构建,其中所有引擎也静态链接。不是部署的最佳选择,但在处理 CAPI 详细信息时,只有一个文件可以让您从 DLL 地狱中解脱出来。
@echo off
setlocal
call "C:\Program Files (x86)\Microsoft Visual Studio 10.0\VC\vcvarsall.bat"
::Get the current directory name in the variable builddir
for /f "delims=\" %%a in ("%cd%") do set builddir=%%~nxa
::Configure build variable
perl Configure VC-WIN32 enable-static-engine --prefix=.
::Generate makefile
call ms\do_nasm.bat
::Build
nmake -f ms\nt.mak
::Test
nmake -f ms\nt.mak test
::Install
nmake -f ms\nt.mak install
endlocal
【讨论】:
【讨论】: