как загрузить дополнительный ненадежный сертификат в SSL_CTX

Question

У меня есть SSL-клиент и сервер, и тестирование ИПК как этот

root_ca -> server_singing_ca -> ssl server 
     |--> client_signing_ca -> ssl client 

на сервере, я поставил сертификат сервера и сертификат server_signing_ca в тот же файл , и загрузить файл, используя

SSL_CTX_use_certificate_chain_file(). 

Это работает. Неверный промежуточный сертификат автоматически отправляется клиенту во время рукопожатия.

Мой вопрос: я хочу свести к минимуму обмен данными во время рукопожатия. Есть ли способ, чтобы клиент мог хранить копию сертификата server_signing_ca заранее, поэтому я могу удалить его с другой стороны?
И я не хочу добавлять cert_signing_ca в доверенный магазин.
Каков API для клиента для загрузки сертификата server_signing_ca? Я посмотрел в

SSL_CTX_add_extra_chain_cert(). 

Но, кажется, это для клиента, чтобы загрузить сертификат client_signing_ca, чтобы сформировать цепочку сертификатов.

Answer 1

См. RFC, связанные с протоколом SSL/TLS (один из них - here). Как правило, сервер должен отправить цепочку сертификата, где корневой ЦС может быть необязательно опущен. Клиент должен иметь доверие к доверенному корню и иметь сертификат.

Однако вы можете опустить цепочку (за исключением того, что клиент имеет цепочку сертификатов). Вам необходимо убедиться, что сертификат сервера должен быть проверен.

Вы можете выполнить проверку почтового соединения с помощью используемой вами цепи или проверить SSL_CTX_set_cert_verify_callback.