OpenSSL中时间戳验证工具无法使用Windows系统证书的问题分析

在OpenSSL项目中，时间戳验证工具(openssl-ts)存在一个与Windows系统证书存储相关的功能缺陷。该问题表现为当用户尝试使用org.openssl.winstore://URI指定Windows系统证书存储时，工具无法正确加载这些证书，而其他工具如openssl-verify却能正常工作。

问题本质

深入分析代码实现后发现，问题的根源在于两种工具采用了不同的证书加载机制：

1. openssl-verify使用的是X509_LOOKUP_add_store_ex()函数
2. openssl-ts则使用的是X509_LOOKUP_load_store_ex()函数

这两种加载方式在功能上存在关键差异。X509_LOOKUP_add_store_ex()能够正确识别并加载Windows系统证书存储的特殊URI格式，而X509_LOOKUP_load_store_ex()则无法处理这种特殊URI。

技术背景

Windows操作系统提供了一个集中式的证书存储系统，OpenSSL通过特定的URI格式org.openssl.winstore://来访问这个系统存储。这种设计允许开发者直接使用系统中已安装的证书，而不需要手动管理证书文件。

在OpenSSL的证书加载机制中，X509_LOOKUP_add_store_ex()和X509_LOOKUP_load_store_ex()虽然都是用于加载证书存储，但它们的实现细节和行为特性有所不同：

• X509_LOOKUP_add_store_ex()：设计用于处理各种类型的证书存储，包括特殊URI格式
• X509_LOOKUP_load_store_ex()：主要面向传统的文件系统路径加载方式

影响范围

该问题影响了OpenSSL的多个版本分支，包括主分支(master)和3.0至3.4版本分支。这意味着使用这些版本中openssl-ts工具进行时间戳验证时，如果依赖Windows系统证书存储，将会遇到功能失效的问题。

解决方案

修复方案相对直接：将openssl-ts工具中的证书加载方式统一改为使用X509_LOOKUP_add_store_ex()函数。这种修改不仅解决了Windows系统证书存储的问题，还能保持与其他OpenSSL工具的行为一致性。

总结

这个问题揭示了OpenSSL工具链中不同工具间存在的行为不一致性。作为最佳实践，对于系统级功能如证书存储访问，应当采用统一且可靠的接口实现。开发者在使用OpenSSL进行时间戳验证时，如果遇到类似问题，可以检查所使用的OpenSSL版本是否包含此修复。