Delphi Indy验证服务器证书SSL

原文

我已经浏览了互联网,但在使用TIdHTTP通过HTTPS连接时,没有找到关于如何验证证书的解决方案或方法.

我已经将IdSSLIOHandlerSocketopenSSL组件连接为IOHandler,设置SSLModes等,但是当我浏览到https://s3.amazonaws.com时,它无法验证证书.

OpenSSL(Indy)给出

“使用SSL连接时出错.SSL3_GET_SERVER_CERTIFICATE:证书验证失败”

已成功加载OpenSSL库(使用WhichFailedToLoad进行检查). OnStatusInfo事​​件写入以下内容:

SSL状态:“在/初始化之前”

SSL状态:“在/初始化之前”

SSL状态:“SSLv2 / v3写客户端问候A”

SSL状态:“SSLv3读取服务器问候A”

SSL状态:“SSLv3读取服务器证书B”

SSL状态:“SSLv3读取服务器证书B”

SSL状态:“SSLv3读取服务器证书B”

并且OnVerifyPeer,AOk = False.

我怎样才能让它正确验证.这是怎么回事?

谢谢阅读,
阿德里安

解决方法

您必须为TIdSSLIOHandlerSocketopenSSL组件的OnVerifyPeer事件实现事件处理程序.

来自IdSSLOpenSSL.pas:

Note that you really should always
implement OnVerifyPeer,otherwise the certificate of the peer you are
connecting to is NOT checked to ensure it is valid.

如果您只想考虑库认为有效的相同证书,您只需要以这种方式实现它:

function TForm1.IdSSLIOHandlerSocketopenSSL1VerifyPeer(Certificate: TIdX509;
  AOk: Boolean; ADepth,AError: Integer): Boolean;
begin
  Result := AOk;
end;

因为Indy首先检查证书的有效性,如果在AOk参数中是否正常则通过.最后一个词是在你的代码中,因为你可能想要传递某些类型的小验证错误,比如过时,或者甚至询问用户是否接受证书是否有任何错误(次要或不是) .

要了解它为何如此工作,您可能还想阅读IdSSLOpenSSL.pas文件顶部的所有注释:

{

Important information concerning OnVerifyPeer:
Rev 1.39 of February 2005 deliberately broke the OnVerifyPeer interface,
which (obvIoUsly?) only affects programs that implemented that callback
as part of the SSL negotiation. Note that you really should always
implement OnVerifyPeer,otherwise the certificate of the peer you are
connecting to is NOT checked to ensure it is valid.

Prior to this,if the SSL library detected a problem with a certificate
or the Depth was insufficient (i.e. the “Ok” parameter in VerifyCallback
is 0 / FALSE),then irrespective of whether your OnVerifyPeer returned True
or False,the SSL connection would be deliberately Failed.

This created a problem in that even if there was only a very minor
problem with one of the certificates in the chain (OnVerifyPeer is called
once for each certificate in the certificate chain),which the user may
have been happy to accept,the SSL negotiation would be Failed. However,
changing the code to allow the SSL connection when a user returned True
for OnVerifyPeer would have meant that existing code which depended on
automatic rejection of invalid certificates would then be accepting
invalid certificates,which would have been an unacceptable security
change.

Consequently,OnVerifyPeer was changed to deliberately break existing code
by adding an AOk parameter. To preserve the prevIoUs functionality,your
OnVerifyPeer event should do “Result := AOk;”. If you wish to consider
accepting certificates that the SSL library has considered invalid,then
in your OnVerifyPeer,make sure you satisfy yourself that the certificate
really is valid and then set Result to True. In reality,in addition to
checking AOk,you should always implement code that ensures you are only
accepting certificates which are valid (at least from your point of view).

Ciaran Costelloe,ccostelloe[_a_t_]flogas.ie

}

{

RLebeau 1/12/2011: Breaking OnVerifyPeer event again,this time to add an additional
AError parameter (patch courtesy of “jvlad”,dmda@yandex.ru). This
helps user code distinquish between Self-signed and invalid
certificates.

}

Delphi Indy验证服务器证书SSL的更多相关文章

  1. ios – 应该加密APNS令牌吗?

    所以,我想知道,因为用户将APNS令牌发送给APNS提供商以便接收推送通知,是否应该加密令牌?另外,我认为根据APNS令牌识别设备是不可能的?因此,我想确保,如果有人从我的一个客户端嗅探推送通知注册...>他仍然必须获得我的推送证书才能以任何方式打扰我的客户>他知道有人对这些信息感兴趣,但无法确定我的客户是谁我可以放心吗?

  2. iOS Enterprise Deployement:单击itms-services链接会导致“无法连接到[域]”错误

    解决方法我有这个问题,这里没有任何记录的解决方案,或者在其他答案中,没有为我工作.使用正确的SSL证书,可以在目标设备上的safari中加载plist,没有任何问题.但是,尝试使用“itms-services://…”链接进行安装将始终失败,并显示“无法连接到[域]”错误.问题是Web服务器上未配置中间SSL证书.Web浏览器没有问题,SSL有效,但将设备连接到Mac,并通过XCode中的设备面板查看日志显示以下错误:在Apache上安装中间SSL证书解决了这个问题.

  3. ios – 我可以使用自签名SSL证书服务器在空中部署企业应用吗?

    iOS7.1之后,如果我们要通过空中部署我们的Enterprise应用程序,则manifest.plist文件的URL必须是HTTPS.例如:在我的服务器中,我使用自签名SSL证书.当我点击iPhone上的URL时,它表示无法连接到并记录典型的所以,我想知道我是否可以使用自签名SSL证书?如果可以,我如何解决我遇到的问题的问题?

  4. ios – 为什么一些iphone应用程序不会完成与Charles Proxy的ssl握手?

    我正在使用CharlesProxy查看从我的iPhone出来的所有流量.我的iPhone上安装了ssl证书/配置文件,我可以看到很多ssl加密的流量.然而,一些应用程序似乎没有完成ssl握手.错误是:“SSLHandshake:远程主机在握手期间关闭连接”,然后CharlesProxy建议将应用程序配置为信任查尔斯根证书.我以为当我将配置文件安装到我的iphone上时呢?

  5. ios – 我在哪里可以找到用于创建IPad应用程序的Delphi资源?

    我之前一直在使用Delphi并且一直都是Windows家伙.我的妻子为我的生日买了一台新的iPad,我昨晚第一次使用它.哇!…

  6. ios – 获取SSL证书详细信息

    本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请发送邮件至dio@foxmail.com举报,一经查实,本站将立刻删除。

  7. ios – 如何让Charles在SSL连接上使用Xcode 7?

    我遇到了新安装的Xcode7的问题,即使在通过Charles在iOS模拟器上安装SSL证书(帮助>SSL代理>在iOS模拟器中安装CharlesRoot证书),并明确允许服务器的域我在查尔斯查询,任何试图收听SSL流量的尝试都会导致连接失败.Charles报告以下错误:SSLHandshake:RemotehostclosedconnectionduringhandshakeYoumayneedt

  8. 从iOS7迁移后,为什么iOS8 SSL请求会间歇性地失败?

    我的下一步是什么,找出这些请求失败的原因?

  9. 如何从命令行部署OSX或IOS Delphi项目?

    我正在使用像这样的脚本构建我的Delphi应用程序现在我想添加一个选项将应用程序部署到OSX系统修改这样的脚本,那么可以从命令行部署OSX或IOSDelphi项目吗?

  10. iOS 10.3:模拟器HTTPS localhost:SSL错误

    这适用于iOS10.2及更低版本,但升级到10.3后,当模拟器尝试通过HTTPS连接到运行在localhost上的开发服务器时,Xcode控制台会输出以下错误:打印出URLSessionDataTask返回的错误显示:参考:Apple:Developer:GuidesandSampleCode:TechnicalNoteTN2232:HTTPSServerTrustEvaluation要创建自签名

随机推荐

  1. delphi – 主窗口按进程名称处理

    DelphiXe,Win7x64如何从进程名称(exe文件的完整路径)获取主窗口句柄,或至少一个类或窗口名称(如果该进程只有一个窗口).例:解决方法我同意Petesh的说法,你需要枚举顶级窗口并检查创建它的进程的模块文件名.为了帮助您开始枚举顶级窗口,这是一个delphi实现.首先,当你回调给你时,你需要一些与EnumWindows方法通信的方式.为此声明一条记录,该记录将保存您要查找的模块的文件

  2. 如何在Delphi中纯粹通过RTTI信息(即不使用任何实际对象实例)获取TObjectList的子项类型?

    我正在使用RTTI实现用于流式传输任意Delphi对象的通用代码,并且为了使其工作(更具体地说,为了使加载部分工作),我需要以某种方式获得TObjectList的子项类型<T>不使用任何实际对象实例的字段.要求不使用任何实际对象实例的明显原因是,在从流加载对象的情况下(仅基于要加载的对象的类类型的知识),我将不会有任何实例在加载完成之前完全可用–我宁愿只能访问相关类的纯RTTI数据.我希望能

  3. inno-setup – Inno Setup – 安装程序背景图片

    图像作为安装程序背景如何用inno5.5.9做到这一点?

  4. inno-setup – Inno Setup – 如何添加多个arc文件进行解压缩?

    使用InnoSetup解压缩弧文件.我希望有可能解压缩多个arc文件以从组件选择中安装文件(例如).但仍然显示所有提取的整体进度条.这可能吗?的回答的修改预备是相同的,参考其他答案.在ExtractArc中,为要提取的每个存档调用AddArchive.

  5. delphi – 如何在DataSet的帮助下在TAdvStringGrid中显示数据库中的BLOB图像

    解决方法CreateBlobStream正在创建一个TStream对象,而不是TMemoryStream.由于您不想将JPG写入数据库,因此应使用bmRead而不是bmReadWrite.我不习惯sqlite,但你必须确保使用合适的二进制日期类型.为了确保存储的图像真的是JPG,您应该编写JPG以进行测试,例如:

  6. inno-setup – 在Inno Setup的Code部分下载程序后运行程序

    如何运行我通过Internet下载的应用程序,在代码部分中使用,并等待该应用程序完成运行.我有,使用InnoTools下载程序,下载这两个文件,我想,在第二个完成下载后运行该下载,或jdk-8u111-windows-x64.exe,然后继续安装.解决方法使用其他下载插件,而不是ITD(请参阅下面的原因).例如,InnoDownloadPlugin.当您包含idp.iss时,它定义了一个全局IDP

  7. progress-bar – Inno Setup Run部分的简单进度页面

    我的安装程序非常简单,它基本上是:>欢迎页面>进展页面>最终页面欢迎页面和最终页面是标准页面.在Progress页面,我正在静默安装一堆其他程序.实际的脚本是在[Run]部分中安装每个程序.问题是酒吧达到100%然后停留在那里.我只能更改消息文本.我想要实现的是使用Pascal脚本显示进度,例如:这样我就可以显示更准确的进度条.这就是我所拥有的:问题是,当我构建安装程序时,它不显示欢迎页面.我做错了什么?

  8. delphi – 如何使“显示/隐藏桌面图标”设置生效?

    下面的代码调用SHGetSetSettings函数来隐藏桌面图标但它只是从视图菜单中取消选中“显示桌面图标”.我打电话给SHChangeNotify;更新桌面,但这不起作用?解决方法isa,要刷新桌面,您可以将F5键发送到progman窗口隐藏桌面图标的另一种方法是再次显示

  9. inno-setup – Inno Setup – 避免显示子安装程序的文件名

    我试图使用InnoSetup–Howtohidecertainfilenameswhileinstalling?(FilenameLabel)的想法Theonlysuresolutionistoavoidinstallingthefiles,youdonotwanttoshow,usingthe[Files]section.Installthemusingacodeinstead.UsetheEx

  10. inno-setup – Inno Setup磁力链接下载实施

    我目前正在使用InnoDownloadPlugin为我的安装程序下载文件,这个问题最大的问题是faila正确下载文件.因为连接不良等诸多原因.我想添加一种替代方法来下载文件,因此用户可以选择是否需要常规方式或torrent方式.我知道我可以使用aria2c.exe应用程序(https://aria2.github.io/),有人可以帮我实现它的inno设置代码吗?我需要的是使用torrent(ar

返回
顶部