libwebsockets中使用wolfSSL加载内存证书的问题解析

问题背景

在使用libwebsockets 4.3.5版本与wolfSSL 5.7.6构建HTTPS服务器时，开发者发现当通过文件路径加载SSL证书和私钥时工作正常，但使用内存方式(server_ssl_cert_mem和server_ssl_private_key_mem)加载时，lws_create_context会返回NULL，表示初始化失败。

问题分析

通过深入分析日志和代码，发现问题出在wolfSSL处理证书的方式上。wolfSSL的wolfSSL_CTX_use_certificate_buffer函数期望接收ASN1格式的证书数据，而libwebsockets默认传递的是PEM格式的证书内容。

解决方案

正确的处理方式应该是先将PEM格式的证书转换为DER/ASN1格式，然后再传递给wolfSSL。libwebsockets中已经提供了lws_tls_alloc_pem_to_der_file函数来完成这一转换工作。

核心修复代码如下：

if (lws_tls_alloc_pem_to_der_file(vhost->context, cert, mem_cert,
                  mem_cert_len, &p, &flen)) {
    lwsl_err("%s: couldn't convert pem to der\n", __func__);
    return 1;
}

if (wolfSSL_CTX_use_certificate_buffer(vhost->tls.ssl_ctx,
                     (uint8_t *)p,
                     (int)flen,
                     WOLFSSL_FILETYPE_ASN1) != 1) {

技术细节

1. 证书格式差异：

   • PEM格式：Base64编码的文本格式，以"-----BEGIN CERTIFICATE-----"开头
   • DER/ASN1格式：二进制格式，是证书的原始编码形式

2. wolfSSL特性：

   • 虽然wolfSSL提供了wolfSSL_CTX_use_certificate_ASN1函数，但需要启用OPENSSL_ALL编译选项
   • libwebsockets默认只依赖wolfSSL的OPENSSL_EXTRA功能集

3. ALPN支持：

   • 使用wolfSSL时可能会看到"openssl too old"的警告
   • 这是因为wolfSSL的ALPN支持需要额外配置，目前libwebsockets中的ALPN检测逻辑主要针对OpenSSL和mbedTLS

最佳实践

1. 对于使用wolfSSL的项目：

   • 确保正确处理证书格式转换
   • 如果需要完整功能，考虑启用wolfSSL的OPENSSL_ALL选项
   • 注意ALPN等高级功能可能需要额外配置

2. 对于libwebsockets开发者：

   • 在支持多种SSL后端时，注意各后端的特性差异
   • 提供统一的抽象层处理不同后端的特殊需求
   • 完善文档说明各后端的支持情况和限制

总结

通过这个问题我们可以看到，在使用不同SSL/TLS库时，证书加载方式可能存在细微但关键的差异。libwebsockets作为支持多种后端的网络库，需要妥善处理这些差异。对于wolfSSL用户，理解其与OpenSSL的兼容层实现细节非常重要，特别是在处理证书和高级功能时。

这个问题也提醒我们，在跨平台、跨后端开发时，不能假设所有组件的行为完全一致，需要仔细测试每个功能点，特别是在使用内存而非文件方式加载资源时。