我已经设置了一个CA(根目录及其下的签名)。然后,我使用签名CA颁发两个证书req1和req2。我已经使用gSOAP编写了基于WSDL / SOAP的服务,该服务使用WSSE检查签名。使用测试客户端,我确认两个证书都可以将请求签名到我的服务器上。然后,我撤销req1并将CRL加载到我的服务器中。用req1发出请求,我得到了预期的X509_V_ERR_CERT_REVOKED。但是,使用现在尚未撤销的req2会导致X509_V_ERR_UNABLE_TO_GET_CRL。 当使用openssl命令行工具对照CRL检查两个证书的状态时,我得到了“撤销”和“确定”的预期结果。但是,在我的应用程序中,只有被撤消的部分有效。
任何提示吗?
更新:经过n层调试注入后,我意识到是根和签名CA引发了这个问题,即req2并不是没有CRL,而是实际上是根和签名CA证书。顺便说一句。我没有将X509_V_FLAG_CRL_CHECK_ALL传递给X509_STORE_set_flags。