OpenSSL证书验证失败问题分析与解决

问题背景

在使用OpenSSL进行HTTPS客户端连接时，开发者遇到了证书验证失败的问题。具体表现为调用SSL_connect函数时返回错误error:0A000086:SSL routines::certificate verify failed。该问题出现在从OpenSSL 3.0.12升级到3.4.0后，而之前版本工作正常。

技术分析

证书验证机制

OpenSSL在进行TLS/SSL连接时，会验证服务器证书的有效性。这一过程包括：

1. 检查证书是否由受信任的CA签发
2. 验证证书是否在有效期内
3. 检查证书是否被吊销
4. 验证主机名是否匹配

问题根源

通过进一步诊断，开发者发现错误信息为Verify error: unable to get local issuer certificate。这表明OpenSSL无法找到签发服务器证书的CA证书。

关键发现是：

• X509_get_default_cert_file()返回的路径为/usr/local/ssl
• 实际系统CA证书存储在/usr/lib/ssl目录下
• 新安装的OpenSSL 3.4.0使用了不同的默认证书存储路径

解决方案

方法一：设置正确的CA证书路径

可以通过以下方式指定正确的CA证书路径：

SSL_CTX_load_verify_locations(m_ctx, "/etc/ssl/certs/ca-certificates.crt", NULL);

或者指定CA证书目录：

SSL_CTX_load_verify_locations(m_ctx, NULL, "/usr/lib/ssl/certs");

方法二：修复默认证书路径

对于系统级解决方案，可以创建符号链接：

sudo mkdir -p /usr/local/ssl/certs
sudo ln -s /etc/ssl/certs/* /usr/local/ssl/certs/

或者修改OpenSSL配置文件，指定正确的默认路径。

最佳实践建议

1. 显式指定CA路径：在生产代码中，建议显式指定CA证书路径，而不是依赖系统默认值。

2. 错误处理：实现详细的错误处理逻辑，如示例中的verify_callback函数，可以更清晰地诊断证书验证问题。

3. 版本兼容性检查：在升级OpenSSL版本时，应检查默认配置的变化，特别是证书存储路径等关键设置。

4. 测试验证：使用openssl s_client工具进行快速测试验证，可以快速定位证书相关问题。

总结

证书验证是TLS/SSL安全通信的基础环节。开发者在使用OpenSSL时，应当充分理解其证书验证机制，并注意不同版本间的配置差异。通过正确配置CA证书路径和实现完善的错误处理，可以确保应用的安全连接功能稳定可靠。