class OpenSSL::X509::Store

X509 证书存储用于保存受信任的 CA 证书，用于验证对等证书。

创建有用的证书存储的最简单方法是：

cert_store = OpenSSL::X509::Store.new
cert_store.set_default_paths

这将使用您系统内置的证书。

如果您的系统没有默认的证书集，您可以从 cURL 维护人员提供的 Mozilla CA 证书存储中获取一组提取的证书：curl.haxx.se/docs/caextract.html（您可能希望使用 firefox-db2pem.sh 脚本从本地安装中提取证书，以避免中间人攻击。）

从以上链接下载或生成 cacert.pem 后，您可以从 pem 文件创建证书存储，如下所示：

cert_store = OpenSSL::X509::Store.new
cert_store.add_file 'cacert.pem'

证书存储可以像这样与 SSLSocket 一起使用：

ssl_context = OpenSSL::SSL::SSLContext.new
ssl_context.verify_mode = OpenSSL::SSL::VERIFY_PEER
ssl_context.cert_store = cert_store

tcp_socket = TCPSocket.open 'example.com', 443

ssl_socket = OpenSSL::SSL::SSLSocket.new tcp_socket, ssl_context

属性

chain [R]

上次调用 verify 构建的证书链。

另请参见 StoreContext#chain。

error [R]

上次调用 verify 设置的错误代码。

另请参见 StoreContext#error。

error_string [R]

上次调用 verify 设置的错误代码的描述。

另请参见 StoreContext#error_string。

verify_callback [R]

用于额外证书验证的回调。它为链中的每个证书调用，可用于实现自定义证书验证条件。

回调使用两个值调用，一个布尔值，指示 OpenSSL 的预验证是否成功，以及正在使用的 StoreContext。

回调可以使用 StoreContext#error= 根据需要更改错误代码。回调必须返回 true 或 false。

注意：回调中引发的任何异常都将被忽略。

另请参见 man 手册 X509_STORE_CTX_set_verify_cb(3)。

公共类方法

X509::Store.new → store

来源

static VALUE
ossl_x509store_initialize(int argc, VALUE *argv, VALUE self)
{
    X509_STORE *store;

    GetX509Store(self, store);
    if (argc != 0)
        rb_warn("OpenSSL::X509::Store.new does not take any arguments");
#if !defined(HAVE_OPAQUE_OPENSSL)
    /* [Bug #405] [Bug #1678] [Bug #3000]; already fixed? */
    store->ex_data.sk = NULL;
#endif
    X509_STORE_set_verify_cb(store, x509store_verify_cb);
    ossl_x509store_set_vfy_cb(self, Qnil);

    /* last verification status */
    rb_iv_set(self, "@error", Qnil);
    rb_iv_set(self, "@error_string", Qnil);
    rb_iv_set(self, "@chain", Qnil);

    return self;
}

创建一个新的 X509::Store。

公共实例方法

add_cert(cert) → self

来源

static VALUE
ossl_x509store_add_cert(VALUE self, VALUE arg)
{
    X509_STORE *store;
    X509 *cert;

    cert = GetX509CertPtr(arg); /* NO NEED TO DUP */
    GetX509Store(self, store);
    if (X509_STORE_add_cert(store, cert) != 1)
        ossl_raise(eX509StoreError, "X509_STORE_add_cert");

    return self;
}

将 OpenSSL::X509::Certificate cert 添加到证书存储。

另请参见 man 手册 X509_STORE_add_cert(3)。

add_crl(crl) → self

来源

static VALUE
ossl_x509store_add_crl(VALUE self, VALUE arg)
{
    X509_STORE *store;
    X509_CRL *crl;

    crl = GetX509CRLPtr(arg); /* NO NEED TO DUP */
    GetX509Store(self, store);
    if (X509_STORE_add_crl(store, crl) != 1)
        ossl_raise(eX509StoreError, "X509_STORE_add_crl");

    return self;
}

将 OpenSSL::X509::CRL crl 添加到存储。

另请参见 man 手册 X509_STORE_add_crl(3)。

add_file(file) → self

来源

static VALUE
ossl_x509store_add_file(VALUE self, VALUE file)
{
    X509_STORE *store;
    X509_LOOKUP *lookup;
    const char *path;

    GetX509Store(self, store);
    path = StringValueCStr(file);
    lookup = X509_STORE_add_lookup(store, X509_LOOKUP_file());
    if (!lookup)
        ossl_raise(eX509StoreError, "X509_STORE_add_lookup");
    if (X509_LOOKUP_load_file(lookup, path, X509_FILETYPE_PEM) != 1)
        ossl_raise(eX509StoreError, "X509_LOOKUP_load_file");
#if OPENSSL_VERSION_NUMBER < 0x10101000 || defined(LIBRESSL_VERSION_NUMBER)
    /*
     * X509_load_cert_crl_file() which is called from X509_LOOKUP_load_file()
     * did not check the return value of X509_STORE_add_{cert,crl}(), leaking
     * "cert already in hash table" errors on the error queue, if duplicate
     * certificates are found. This will be fixed by OpenSSL 1.1.1.
     */
    ossl_clear_error();
#endif

    return self;
}

将 file 中的证书添加到证书存储。file 是文件路径，该文件包含一个或多个以 PEM 格式连接在一起的证书。

另请参见 man 手册 X509_LOOKUP_file(3)。

add_path(path) → self

来源

static VALUE
ossl_x509store_add_path(VALUE self, VALUE dir)
{
    X509_STORE *store;
    X509_LOOKUP *lookup;
    const char *path;

    GetX509Store(self, store);
    path = StringValueCStr(dir);
    lookup = X509_STORE_add_lookup(store, X509_LOOKUP_hash_dir());
    if (!lookup)
        ossl_raise(eX509StoreError, "X509_STORE_add_lookup");
    if (X509_LOOKUP_add_dir(lookup, path, X509_FILETYPE_PEM) != 1)
        ossl_raise(eX509StoreError, "X509_LOOKUP_add_dir");

    return self;
}

将 path 添加为存储查找的哈希目录。

另请参见 man 手册 X509_LOOKUP_hash_dir(3)。

flags = flags

来源

static VALUE
ossl_x509store_set_flags(VALUE self, VALUE flags)
{
    X509_STORE *store;
    long f = NUM2LONG(flags);

    GetX509Store(self, store);
    X509_STORE_set_flags(store, f);

    return flags;
}

设置使用 Store 执行的证书链验证的默认标志。

flags 由在 OpenSSL::X509 中定义的零个或多个常量组成，名称为 V_FLAG_* 或在一起。

OpenSSL::X509::StoreContext#flags= 可用于更改单个验证操作的标志。

另请参见 man 手册 X509_VERIFY_PARAM_set_flags(3)。

purpose = purpose

来源

static VALUE
ossl_x509store_set_purpose(VALUE self, VALUE purpose)
{
    X509_STORE *store;
    int p = NUM2INT(purpose);

    GetX509Store(self, store);
    X509_STORE_set_purpose(store, p);

    return purpose;
}

设置存储的默认验证目的。如果指定，则存储上的验证将检查每个证书的扩展是否与目的保持一致。目的由常量指定

X509::PURPOSE_SSL_CLIENT
X509::PURPOSE_SSL_SERVER
X509::PURPOSE_NS_SSL_SERVER
X509::PURPOSE_SMIME_SIGN
X509::PURPOSE_SMIME_ENCRYPT
X509::PURPOSE_CRL_SIGN
X509::PURPOSE_ANY
X509::PURPOSE_OCSP_HELPER
X509::PURPOSE_TIMESTAMP_SIGN

OpenSSL::X509::StoreContext#purpose= 可用于更改单个验证操作的值。

另请参见 man 手册 X509_VERIFY_PARAM_set_purpose(3)。

set_default_paths

来源

static VALUE
ossl_x509store_set_default_paths(VALUE self)
{
    X509_STORE *store;

    GetX509Store(self, store);
    if (X509_STORE_set_default_paths(store) != 1)
        ossl_raise(eX509StoreError, "X509_STORE_set_default_paths");

    return Qnil;
}

配置 store 以根据需要从系统默认证书存储中查找 CA 证书。存储的位置通常可以通过以下方式确定：

OpenSSL::X509::DEFAULT_CERT_FILE
OpenSSL::X509::DEFAULT_CERT_DIR

另请参见 man 手册 X509_STORE_set_default_paths(3)。

time = time

来源

static VALUE
ossl_x509store_set_time(VALUE self, VALUE time)
{
    X509_STORE *store;
    X509_VERIFY_PARAM *param;

    GetX509Store(self, store);
#ifdef HAVE_X509_STORE_GET0_PARAM
    param = X509_STORE_get0_param(store);
#else
    param = store->param;
#endif
    X509_VERIFY_PARAM_set_time(param, NUM2LONG(rb_Integer(time)));
    return time;
}

设置在存储的证书验证中要使用的时间。默认情况下，如果未指定，则使用当前系统时间。

OpenSSL::X509::StoreContext#time= 可用于更改单个验证操作的值。

另请参见 man 手册 X509_VERIFY_PARAM_set_time(3)。

trust = trust

来源

static VALUE
ossl_x509store_set_trust(VALUE self, VALUE trust)
{
    X509_STORE *store;
    int t = NUM2INT(trust);

    GetX509Store(self, store);
    X509_STORE_set_trust(store, t);

    return trust;
}

设置存储的证书验证使用的默认信任设置。

OpenSSL::X509::StoreContext#trust= 可用于更改单个验证操作的值。

另请参见 man 手册 X509_VERIFY_PARAM_set_trust(3)。

verify(cert, chain = nil) → true | false

来源

static VALUE
ossl_x509store_verify(int argc, VALUE *argv, VALUE self)
{
    VALUE cert, chain;
    VALUE ctx, proc, result;

    rb_scan_args(argc, argv, "11", &cert, &chain);
    ctx = rb_funcall(cX509StoreContext, rb_intern("new"), 3, self, cert, chain);
    proc = rb_block_given_p() ?  rb_block_proc() :
           rb_iv_get(self, "@verify_callback");
    rb_iv_set(ctx, "@verify_callback", proc);
    result = rb_funcall(ctx, rb_intern("verify"), 0);

    rb_iv_set(self, "@error", ossl_x509stctx_get_err(ctx));
    rb_iv_set(self, "@error_string", ossl_x509stctx_get_err_string(ctx));
    rb_iv_set(self, "@chain", ossl_x509stctx_get_chain(ctx));

    return result;
}

对 OpenSSL::X509::Certificate cert 执行证书验证。

chain 可以是用于构建证书链的 OpenSSL::X509::Certificate 数组。

如果给定了块，它将覆盖由 verify_callback= 设置的回调。

完成验证后，可以通过 error、error_string 获取错误信息，并通过 chain 获取生成的完整证书链。

verify_callback= (p1)

来源

static VALUE
ossl_x509store_set_vfy_cb(VALUE self, VALUE cb)
{
    X509_STORE *store;

    GetX509Store(self, store);
    rb_iv_set(self, "@verify_callback", cb);
    // We don't need to trigger a write barrier because `rb_iv_set` did it.
    X509_STORE_set_ex_data(store, store_ex_verify_cb_idx, (void *)cb);

    return cb;
}

OpenSSL 验证的通用回调