SSL使用windows证书库中证书实现双向认证

前一段时间对OpenSSL库中的SSL通讯稍微琢磨了一下，在百度文库中找了个示例程序，然后在机器上跑，哇塞，运行成功！那时那个惊喜啊，SSL蛮简单的嘛。前几天，老板要我整一个SSL通讯，要使用windows证书库中的证书进行双向认证，我就想，那不是一小case嘛，于是没怎么放在心上，先休息两天再说。。昨天开完会后，决定开始整。。一打开原来做的SSL工程，我靠，傻眼了，原来示例程序中使用的都是OpenSSL生成的，例如CA证书，Server端证书，Client端证书，以及各自的密钥文件，我想，这咋办呢，还是把windows证书库中的证书先导出来，然后在程序中使用证书文件吧，但又一想，如果是多级证书咋办呢，那就要使用证书链了，从哪获得证书链呢，难道还要去根证书库中把所有CA证书也导出来吧，然后自己生成证书链？这难度也忒大了吧，在百度中搜索，还真有人做过，他提供了一个示例，输入多个证书文件生成证书链，然后再根据证书链验证证书。如果要这样做，就要导出所有CA证书（根证书以及所有中间证书），实现起来意义不大（必须要到各个证书库中寻找CA证书）。后来又一想，我们每次查看证书时不是可以看到证书的路径吗。。是啊，证书库肯定维护了证书彼此的关联，能不能直接导出一个证书链呢？百度，谷歌，找了大半天，发现竟然可以，在导出证书时选择“导出PKCS#7证书”，导出的就是.p7b格式的证书，这就是表示证书链。SSL提供的API中有SSL_CTX_use_certificate_chain_file接口，但是有要求，必须要使用PEM格式的证书链，我草，为什么就不能支持两个格式呢，幸亏OpenSSL提供了命令PKCS7，可以把.p7b格式的证书链转化成.pem格式。这里转化也不是那么顺利，刚开始转化时就使用OpenSSL pkcs7 -inform DER -outform PEM -in 某某.p7b -out 某某.pem，得到的结果竟然是PKCS7文件（以Begin PKCS7开头和以End PKCS7结尾），使用这个文件SSL_CTX_use_certificate_chain_file运行失败。我也觉得失败是正常的，这不太像证书链吧（证书链就是有顺序的在一个文件中存放多个证书，这是我的理解）。然后我重新使用pkcs7命令进行转化，各个尝试，好像都不对，但是通过加-text或-print_certs后再修改就可以了。使用OpenSSL pkcs7 -inform DER -outform PEM -in -text或OpenSSL pkcs7 -inform DER -outform PEM -in -print_certs，后然后打开文件，删除一些东西就可以了，让文件中存放的都是证书。然后测试，运行成功，这样，证书链的问题就解决了。

在SSL两端的服务器证书和客户端证书，都必须要使用证书对应的私钥。如果我们是通过OpenSSL生成的证书，我们肯定可以得到相应的密钥文件。我们要使用的是windows证书库中的证书，如何获得OpenSSL可以使用的密钥呢。在网上搜到一个CSP Engine程序，里面提供了从一个windows证书上下文CERT_CONTEXT获得OpenSSL中对应的X509格式证书和EVP_PKEY格式密钥的接口EVP_PKEY_new_CERT_CONTEXT，然后就可以使用SSL_CTX_use_PrivateKey函数传入EVP_PKEY格式密钥。

服务器端基本上完成了。

客户端需要对传过来的服务器证书链进行验证，还需要设置一个根证书，使用SSL_CTX_load_verify_locations可以设置根证书到SSL上下文。传入的参数是根证书的文件名和路径。这里要强调一点，这里的根证书必须是PEM格式的，如果是从windows证书库中导出的，那是DER格式，所以必须要进行转化，可以使用x509命令。

客户端基本上也完成了。

然后客户端就可以对服务器进行认证了。服务器对客户端的认证过程也是类似的，这里就不重复讲解了。