OpenSSLを使用したSSL / TLSクライアント認証のテスト

テスト用に（1）s_clientおよびs_serverで信頼のルートを設定しようとしているようです。 （2）OpenSSLを使用してプログラム内でコード内で。

openssl s_client（またはopenssl s_server）がルートを使用するようにするには、次のオプションを使用します。

• ルートを指定する-CAfileオプション
• -cert使用する証明書のオプション
• -key証明書の秘密キーのオプション

詳細については、 s_client（1） および s_server（1） のドキュメントを参照してください。

クライアント上で同じことをプログラムで行うには、次を使用します。

• SSL_CTX_load_verify_locationsは信頼されたルートをロードします
• SSL_CTX_use_certificateはクライアント証明書を指定します
• SSL_CTX_use_PrivateKeyは、クライアント証明書の秘密鍵をロードします

サーバー上で同じことをプログラムで行うには、次を使用します。

• SSL_CTX_load_verify_locationsは信頼されたルートをロードします
• SSL_CTX_use_certificate_chain_fileはサーバー証明書を指定します
• SSL_CTX_use_PrivateKeyは、サーバー証明書の秘密鍵をロードします
• SSL_CTX_set_client_CA_listは、クライアントにクライアント証明書を送信するように指示します

すべての接続（つまり、共通のコンテキスト）にパラメーターを使用したくない場合は、たとえば、SSL_use_certificateおよびSSL_use_PrivateKeyを使用して、SSL接続ごとにパラメーターを設定します。

SSL_CTX_set_client_CA_listで多くのことが行われています。 （1）サーバーがクライアントを検証するために使用するCAをロードする、（2）サーバーがクライアントを検証するときに受け入れるCAのリストを送信する、（3）ClientCertificateメッセージをトリガーするクライアントがサーバーの受け入れられたCAリストを満たす証明書を持っている場合、クライアントで。

また、 SSL_CTX_load_verify_locations（3） 、 SSL_CTX_use_certificate（3） 、 SSL_CTX_set_client_CA_list および友人に関するドキュメントも参照してください。

使用する最も簡単な証明書とキーの形式はPEMです。 PEMは、たとえば----- BEGIN CERTIFICATE -----を使用するものです。サーバー証明書については、ファイルがサーバーの証明書と、クライアントがチェーンを構築するために必要な中間体の連結であることを確認してください。

サーバーに必要なすべての証明書を送信させることは、「どのディレクトリ」問題として知られる問題の標準的な方法です。これはPKIでよく知られている問題であり、本質的には、クライアントが不足している中間証明書を取得する場所を知らないという問題です。

一般に、使用する必要のある機能はこれでわかりました。 nginx のような小さなサーバーをダウンロードし、運用サーバーが実際にそれらをどのように使用しているかを確認します。 SSL/TLSサーバーをセットアップするため、 Postgres のようなSQLサーバーを使用することもできます。ソースファイルでSSL_CTX_load_verify_locationsまたはSSL_load_verify_locationsを検索するだけで、適切な場所が見つかります。

推奨しませんが、s_client.cとs_server.cを見ることができます。それらは<openssl dir>/appsにあります。ただし、コードは時々読みにくい場合があります。