table of contents
- trixie-backports 4.31.0-1~bpo13+1
- testing 4.31.0-1
- unstable 4.31.0-1
| SSL_CTX_SET_CERT_VERIFY_CALLBACK(3SSL) | OpenSSL | SSL_CTX_SET_CERT_VERIFY_CALLBACK(3SSL) |
الاسم¶
SSL_CTX_set_cert_verify_callback - ضبط إجراء التحقق من شهادة النظير
موجز¶
#include <openssl/ssl.h>
void SSL_CTX_set_cert_verify_callback(SSL_CTX *ctx,
int (*callback)(X509_STORE_CTX *, void *),
void *arg);
الوصف¶
SSL_CTX_set_cert_verify_callback() تضبط دالة الاستدعاء للتحقق من أجل ctx. كائنات SSL التي تُنشأ من ctx ترث الإعداد الساري في الوقت الذي يُستدعى فيه SSL_new(3).
ملاحظات¶
عند استلام شهادة نظير خلال مصافحة SSL/TLS، تُستدعى دالة تحقق بغض النظر عن نمط التحقق. إذا لم يُحدد التطبيق دالة استدعاء تحقق صراحةً، تُستخدم دالة التحقق المضمنة. إذا حُددت دالة استدعاء تحقق callback عبر SSL_CTX_set_cert_verify_callback()، تُستدعى دالة الاستدعاء المقدمة بدلاً من ذلك مع الوسائط callback(X509_STORE_CTX *x509_store_ctx, void *arg). الوسيط arg يُحدد من قبل التطبيق عند ضبط callback. بضبط callback على NULL، يُستعاد السلوك المبدئي.
callback يجب أن تُرجع 1 للإشارة إلى نجاح التحقق و0 للإشارة إلى فشل التحقق. في نمط الخادم، تؤدي قيمة الإرجاع 0 إلى فشل المصافحة. في نمط العميل، السلوك كما يلي. جميع القيم، بما في ذلك 0، تُتجاهل إذا كان نمط التحقق هو SSL_VERIFY_NONE. وإلا، عندما تكون قيمة الإرجاع أقل من أو تساوي 0، ستفشل المصافحة.
في نمط العميل، قد تستدعي callback أيضًا دالة SSL_set_retry_verify(3) على كائن SSL المضبوط في البيانات الإضافية لـ x509_store_ctx (انظر SSL_get_ex_data_X509_STORE_CTX_idx(3)) وتُرجع 1. يُفعل هذا عادةً في حال عدم تمكن التحقق من الشهادة من النجاح بعد. يؤدي هذا إلى تعليق المصافحة وإعادة التحكم إلى التطبيق المستدعي مع SSL_ERROR_WANT_RETRY_VERIFY. يمكن للتطبيق مثلاً جلب شهادات إضافية أو معلومات حالة الشهادة اللازمة للتحقق. استدعاء SSL_connect(3) مرة أخرى يستأنف محاولة الاتصال بإعادة محاولة خطوة التحقق من شهادة الخادم. قد تُكرر هذه العملية إذا لزم الأمر.
في أي حال، يجب أن تنعكس قيمة نتيجة تحقق قابلة للتطبيق في العضو error لـ x509_store_ctx، ويمكن فعل ذلك باستخدام X509_STORE_CTX_set_error(3). هذا مهم بشكل خاص في حال سمحت callback للاتصال بالاستمرار (بإرجاع 1). لاحظ أن حالة التحقق في سياق المخزن هي إشارة دائمة محتملة لصحة السلسلة! يُسجل هذا في جلسة SSL (وبالتالي أيضًا في تذاكر الجلسة) وتكون صحة السلسلة المقدمة أصلاً مرئية عند الاستئناف، حتى لو لم تُقدم سلسلة في تلك الحالة. علاوة على ذلك، سيُعلم التطبيق المستدعي بالنتيجة المفصلة لإجراء التحقق وقد يختار بناء قرارات أخرى عليها.
callback قد تستدعي X509_verify_cert(3) لتشغيل دالة التحقق المضمنة. قد يكون هذا مفيدًا إذا رغب التطبيق في إعادة ضبط x509_store_ctx ديناميكيًا قبل التحقق، أو معالجة النتيجة لاحقًا. في هذه الحالة، ستضبط X509_verify_cert(3) العضو error كما هو موصوف أعلاه.
داخل x509_store_ctx، تمتلك callback وصولاً إلى دالة verify_callback المضبوطة باستخدام SSL_CTX_set_verify(3).
القيم المُرجعة¶
SSL_CTX_set_cert_verify_callback() لا تُرجع قيمة.
تحذيرات¶
لا تخلط بين دالة استدعاء التحقق الموصوفة في هذه الدالة ودالة verify_callback المستدعاة أثناء عملية التحقق. الأخيرة تُضبط باستخدام عائلة دوال SSL_CTX_set_verify(3).
توفير إجراء تحقق كامل بما في ذلك إعدادات غرض الشهادة إلخ هو مهمة معقدة. الإجراء المضمن قوي جدًا وفي معظم الحالات يجب أن يكون كافيًا تعديل سلوكه باستخدام دالة verify_callback.
العلل¶
SSL_CTX_set_cert_verify_callback() لا توفر معلومات تشخيصية.
انظر أيضًا¶
ssl(7), SSL_CTX_set_verify(3), X509_STORE_CTX_set_error(3), SSL_get_verify_result(3), SSL_set_retry_verify(3), SSL_CTX_load_verify_locations(3)
حقوق النسخ¶
حقوق النشر 2001-2022 مؤلفو مشروع OpenSSL. جميع الحقوق محفوظة.
مرخص بموجب رخصة Apache 2.0 (المشار إليها فيما يلي بـ ”الرخصة“). لا يجوز لك استخدام هذا الملف إلا وفقًا لشروط الرخصة. يمكنك الحصول على نسخة منها في الملف LICENSE الموجود في حزمة التوزيع المصدرية أو على الرابط <https://www.openssl.org/source/license.html>.
ترجمة¶
تُرجمت هذه الصفحة من الدليل بواسطة زايد السعيدي <zayed.alsaidi@gmail.com>
هذه الترجمة هي وثيقة مجانية؛ راجع رخصة جنو العامة الإصدار 3 أو ما بعده للاطلاع على شروط حقوق النشر. لا توجد أي ضمانات.
إذا وجدت أي أخطاء في ترجمة صفحة الدليل هذه، يرجى إرسال بريد إلكتروني إلى قائمة بريد المترجمين: kde-l10n-ar@kde.org.
| 7 أبريل 2026 | 3.6.2 |