C++调用https接口时ssl证书验证总结

C++使用libcurl调用https接口时，最严格的验证需要设置3个参数

        CURL *easy_handle = curl_easy_init();

        curl_easy_setopt(easy_handle, CURLOPT_SSL_VERIFYPEER, 1L);

        curl_easy_setopt(easy_handle, CURLOPT_SSL_VERIFYHOST, 2L);

        curl_easy_setopt(easy_handle, CURLOPT_CAINFO,  "cacert.pem");//cacert.pem为curl官网下载的根证书文件

 

参数的含义如下：

一、CURL_VERIFY_PEER，默认值为1。

该参数含义是验证HTTPS请求对象的合法性，就是用第三方证书机构颁发的CA数字证书来解密服务端返回的证书，来验证其合法性。可在编译时就将CA数字证书编译进去，也可以通过参数CURLOPT_CAINFO 或者CURLOPT_CAPATH设置根证书。

二、CURL_VERIFY_HOST，默认值为2。

该参数主要用于https请求时返回的证书是否与请求的域名相符合，避免被中间者篡改证书文件。

* 检查服务器SSL证书中是否存在一个公用名(common name)。公用名通常就是申请SSL证书的域名或子域名。

* 检查公用名是否存在，并且是否与提供的主机名匹配。

三、CURLOPT_CAINFO：一个保存着1个或多个用来让服务端验证的证书的文件名。这个参数仅仅在和CURLOPT_SSL_VERIFYPEER一起使用时才有意义。

四、CURLOPT_CAPATH：一个保存着多个CA证书的目录。这个选项是和CURLOPT_SSL_VERIFYPEER一起使用的。

 

cacert.pem 里面应该是一些公共证书颁发机构的根证书，会定期进行更新。需要从curl的官网下载，下载地址是https://curl.haxx.se/ca/cacert.pem，更新地址是https://curl.haxx.se/docs/caextract.html。

 

完全不验证服务器证书的参数设置是

        curl_easy_setopt(easy_handle, CURLOPT_SSL_VERIFYPEER, 0L);

        curl_easy_setopt(easy_handle, CURLOPT_SSL_VERIFYHOST, 0L);

 

参考文章：

官方：https://curl.haxx.se/libcurl/c/CURLOPT_SSL_VERIFYHOST.html

https://curl.haxx.se/libcurl/c/CURLOPT_SSL_VERIFYPEER.html

https://curl.haxx.se/libcurl/c/CURLOPT_CAINFO.html

网络文章：

https://www.cnblogs.com/chenyangchun/p/6868102.html

http://www.cnblogs.com/cposture/p/9029014.html