C/C++ SSL 通信中 CA 证书支持指南：保障安全可靠的连接

使用 C/C++ 实现 SSL 通信中的 CA 证书支持

问题

建立安全可靠的 SSL 通信需要使用 CA（证书颁发机构）证书。CA 证书可以验证服务器的身份，确保客户端和服务器之间建立信任关系。本文将指导你如何修改 C/C++ 代码，以便在 SSL 通信中支持 CA 证书。

解决方案

步骤 1：获取 CA 证书的主题名称

首先，你需要确定你想要使用的 CA 证书的主题名称。主题名称通常是网站的域名，由 CA 颁发。

步骤 2：加载 CA 证书

将 CA 证书添加到 Windows 证书存储中。指定证书存储的位置和名称，以加载证书。

步骤 3：将 CA 证书附加到 SSL 绑定

最后，将 CA 证书凭据附加到 SSL 绑定。这样，客户端就可以使用 CA 证书验证服务器的身份。

代码实现

// 设置客户端证书。必须预先注册证书。
static const WS_STRING certStore = WS_STRING_VALUE(L"My");
static const WS_STRING certSubjectName = WS_STRING_VALUE(L"CN=**.example.com** ");  // 替换为 CA 证书的主题名称

WS_SUBJECT_NAME_CERT_CREDENTIAL certBySubject;
certBySubject.credential.credentialType = WS_SUBJECT_NAME_CERT_CREDENTIAL_TYPE;
certBySubject.storeLocation = CERT_SYSTEM_STORE_CURRENT_USER;
certBySubject.storeName = certStore;
certBySubject.subjectName = certSubjectName;
sslBinding.localCertCredential = &certBySubject.credential;

注意：

• 确保 CA 证书已正确注册到 Windows 证书存储中。
• certSubjectName 必须与 CA 证书的主题名称完全匹配。
• 如果你使用的是自签名证书，你需要在客户端计算机上安装 CA 证书，并将其添加到受信任的根证书颁发机构列表中。

常见问题解答

Q：如何确定 CA 证书的主题名称？
A：从 CA 证书中提取主题名称。通常是证书颁发给网站的域名。

Q：如何在 Windows 中安装 CA 证书？
A：打开证书管理控制台，导航到 "受信的根证书颁发机构"，右键单击并选择 "导入"。

Q：为什么需要 CA 证书？
A：CA 证书用于验证服务器的身份，建立客户端和服务器之间的信任。

Q：我可以使用自签名证书吗？
A：可以，但你需要在客户端计算机上安装自签名证书并将其添加到受信任的根证书颁发机构列表中。

Q：如何附加多个 CA 证书？
A：可以在 sslBinding.localCertCredential 中指定多个 WS_SUBJECT_NAME_CERT_CREDENTIAL 结构来附加多个 CA 证书。