开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > 通讯/手机编程 > TAPI编程 > 查看源码
SSLCERTS
资源名称:PCClientApi.rar [点击查看]
上传用户:coffee44
上传日期:2018-10-23
资源大小:12304k
文件大小:4k
源码类别:

TAPI编程

开发平台:

Visual C++

SSLCERTS:源码内容
  1.                       Peer SSL Certificate Verification
  2.                       =================================
  4. libcurl performs peer SSL certificate verification by default.  This is done
  5. by using CA cert bundle that the SSL library can use to make sure the peer's
  6. server certificate is valid.
  8. If you communicate with HTTPS or FTPS servers using certificates that are
  9. signed by CAs present in the bundle, you can be sure that the remote server
  10. really is the one it claims to be.
  12. Until 7.18.0, curl bundled a severely outdated ca bundle file that was
  13. installed by default. These days, the curl archives include no ca certs at
  14. all. You need to get them elsewhere. See below for example.
  16. If the remote server uses a self-signed certificate, if you don't install a CA
  17. cert bundle, if the server uses a certificate signed by a CA that isn't
  18. included in the bundle you use or if the remote host is an impostor
  19. impersonating your favorite site, and you want to transfer files from this
  20. server, do one of the following:
  22.  1. Tell libcurl to *not* verify the peer. With libcurl you disable this with
  23.     curl_easy_setopt(curl, CURLOPT_SSL_VERIFYPEER, FALSE);
  25.     With the curl command line tool, you disable this with -k/--insecure.
  27.  2. Get a CA certificate that can verify the remote server and use the proper
  28.     option to point out this CA cert for verification when connecting. For
  29.     libcurl hackers: curl_easy_setopt(curl, CURLOPT_CAPATH, capath);
  31.     With the curl command line tool: --cacert [file]
  33.  3. Add the CA cert for your server to the existing default CA cert bundle.
  34.     The default path of the CA bundle used can be changed by running configure
  35.     with the --with-ca-bundle option pointing out the path of your choice.
  37.     To do this, you need to get the CA cert for your server in PEM format and
  38.     then append that to your CA cert bundle.
  40.     If you use Internet Explorer, this is one way to get extract the CA cert
  41.     for a particular server:
  43.      o View the certificate by double-clicking the padlock
  44.      o Find out where the CA certificate is kept (Certificate>
  45.        Authority Information Access>URL)
  46.      o Get a copy of the crt file using curl
  47.      o Convert it from crt to PEM using the openssl tool:
  48.        openssl x509 -inform DES -in yourdownloaded.crt 
  49.        -out outcert.pem -text
  50.      o Append the 'outcert.pem' to the CA cert bundle or use it stand-alone
  51.        as described below.
  53.     If you use the 'openssl' tool, this is one way to get extract the CA cert
  54.     for a particular server:
  56.      o openssl s_client -connect xxxxx.com:443 |tee logfile
  57.      o type "QUIT", followed by the "ENTER" key
  58.      o The certificate will have "BEGIN CERTIFICATE" and "END CERTIFICATE"
  59.        markers.
  60.      o If you want to see the data in the certificate, you can do: "openssl
  61.        x509 -inform PEM -in certfile -text -out certdata" where certfile is
  62.        the cert you extracted from logfile. Look in certdata.
  63.      o If you want to trust the certificate, you can append it to your
  64.        cert_bundle or use it stand-alone as described. Just remember that the
  65.        security is no better than the way you obtained the certificate.
  67.  4. If you're using the curl command line tool, you can specify your own CA
  68.     cert path by setting the environment variable CURL_CA_BUNDLE to the path
  69.     of your choice.
  71.     If you're using the curl command line tool on Windows, curl will search
  72.     for a CA cert file named "curl-ca-bundle.crt" in these directories and in
  73.     this order:
  74.       1. application's directory
  75.       2. current working directory
  76.       3. Windows System directory (e.g. C:windowssystem32)
  77.       4. Windows Directory (e.g. C:windows)
  78.       5. all directories along %PATH%
  80.  5. Get a better/different/newer CA cert bundle! One option is to extract the
  81.     one a recent Mozilla browser uses by running 'make ca-bundle' in the curl
  82.     build tree root, or possibly download a version that was generated this
  83.     way for you:
  85.         http://curl.haxx.se/docs/caextract.html
  87. Neglecting to use one of the above methods when dealing with a server using a
  88. certificate that isn't signed by one of the certificates in the installed CA
  89. cert bundle, will cause SSL to report an error ("certificate verify failed")
  90. during the handshake and SSL will then refuse further communication with that
  91. server.