Scroll to navigation

SSL_CTX_SET_CLIENT_CERT_CB(3SSL) OpenSSL SSL_CTX_SET_CLIENT_CERT_CB(3SSL)

الاسم

SSL_CTX_set_client_cert_cb, SSL_CTX_get_client_cert_cb - معالجة دالة الاستدعاء لشهادة العميل

موجز

 #include <openssl/ssl.h>
 void SSL_CTX_set_client_cert_cb(SSL_CTX *ctx,
                                 int (*client_cert_cb)(SSL *ssl, X509 **x509,
                                                       EVP_PKEY **pkey));
 int (*SSL_CTX_get_client_cert_cb(SSL_CTX *ctx))(SSL *ssl, X509 **x509,
                                                 EVP_PKEY **pkey);

الوصف

SSL_CTX_set_client_cert_cb() تُعيِّن دالة الاستدعاء client_cert_cb، التي تُستدعى عندما يطلب الخادم شهادة عميل ولم تُعيَّن شهادة بعد لكائن SSL.

عندما تكون client_cert_cb NULL، لا تُستخدم أي دالة استدعاء.

SSL_CTX_get_client_cert_cb() تُرجع مؤشرًا لدالة الاستدعاء المُعيَّنة حاليًا.

client_cert_cb هي دالة الاستدعاء المُعرَّفة من التطبيق. إذا أرادت تعيين شهادة، يجب تعيين تركيبة شهادة/مفتاح خاص باستخدام الوسيطين x509 وpkey ويجب إرجاع "1". ستُثبَّت الشهادة في ssl، انظر قسمي NOTES وBUGS. إذا لم تُعيَّن أي شهادة، يجب إرجاع "0" ولن تُرسل أي شهادة. قيمة إرجاع سالبة ستُعلِّق المصافحة وستُرجع دالة المصافحة فورًا. SSL_get_error(3) سترجع SSL_ERROR_WANT_X509_LOOKUP للإشارة إلى أن المصافحة عُلِّقت. الاستدعاء التالي لدالة المصافحة سيؤدي مرة أخرى إلى استدعاء client_cert_cb. من واجب client_cert_cb تخزين معلومات عن حالة الاستدعاء الأخير، إذا لزم الأمر للمتابعة.

ملاحظات

أثناء المصافحة (أو إعادة التفاوض) قد يطلب الخادم شهادة من العميل. يجب إرسال شهادة العميل فقط عندما يُرسل الخادم الطلب.

عندما تُعيَّن شهادة باستخدام عائلة دوال SSL_CTX_use_certificate(3)، ستُرسل إلى الخادم. يتطلب معيار TLS إرسال شهادة فقط إذا تطابقت مع قائمة السلطات المصدقة المقبولة التي أرسلها الخادم. هذا القيد يُنتهَك بالسلوك المبدئي لمكتبة OpenSSL. باستخدام دالة الاستدعاء، يمكن تنفيذ روتين اختيار مناسب أو السماح بتفاعل المستخدم لاختيار الشهادة المراد إرسالها.

إذا عُرِّفت دالة استدعاء ولم تُعرَّف شهادة بعد لكائن SSL، ستُستدعى دالة الاستدعاء. إذا أرجع دالة الاستدعاء شهادة، ستحاول مكتبة OpenSSL تحميل المفتاح الخاص وبيانات الشهادة في كائن SSL باستخدام الدالتين SSL_use_certificate() وSSL_use_private_key(). وبالتالي ستُثبِّت الشهادة والمفتاح بشكل دائم لكائن SSL هذا. لن يُعاد تعيينها باستدعاء SSL_clear(3). إذا لم تُرجع دالة الاستدعاء شهادة، لن تُرسل مكتبة OpenSSL شهادة.

القيم المُرجعة

SSL_CTX_get_client_cert_cb() تُرجع مؤشر دالة client_cert_cb أو NULL إذا لم تُعيَّن دالة الاستدعاء.

العلل

لا يمكن لـ client_cert_cb إرجاع سلسلة شهادات كاملة، بل يمكنها إرجاع شهادة عميل واحدة فقط. إذا كان طول السلسلة 2 فقط، يمكن حذف شهادة CA الجذرية وفقًا لمعيار TLS وبالتالي يمكن إرسال إجابة مطابقة للمعيار إلى الخادم. لسلسلة أطول، يجب على العميل إرسال السلسلة الكاملة (مع خيار حذف شهادة CA الجذرية). يمكن تحقيق ذلك فقط إما بإضافة شهادات CA الوسيطة إلى مخزن الشهادات الموثوق لكائن SSL_CTX (مما يؤدي إلى إضافة شهادات CA التي قد لا تكون موثوقة بخلاف ذلك)، أو بإضافة شهادات السلسلة باستخدام دالة SSL_CTX_add_extra_chain_cert(3)، المتاحة فقط لكائن SSL_CTX ككل وبالتالي ربما تنطبق فقط على شهادة عميل واحدة، مما يجعل مفهوم دالة الاستدعاء (للسماح بالاختيار من عدة شهادات) موضع تساؤل.

بمجرد استخدام كائن SSL مع دالة الاستدعاء، ستُعيَّن الشهادة لكائن SSL ولن تُمسح حتى عند استدعاء SSL_clear(3). لذلك من الضروري تدمير كائن SSL باستخدام SSL_free(3) وإنشاء كائن جديد للعودة إلى الحالة السابقة.

انظر أيضًا

ssl(7), SSL_CTX_use_certificate(3), SSL_CTX_add_extra_chain_cert(3), SSL_get_client_CA_list(3), SSL_clear(3), SSL_free(3)

حقوق النسخ

حقوق النشر 2002-2020 لمؤلفي مشروع OpenSSL. جميع الحقوق محفوظة.

مرخص بموجب رخصة Apache 2.0 (المشار إليها فيما يلي بـ ”الرخصة“). لا يجوز لك استخدام هذا الملف إلا وفقًا لشروط الرخصة. يمكنك الحصول على نسخة منها في الملف LICENSE الموجود في حزمة التوزيع المصدرية أو على الرابط <https://www.openssl.org/source/license.html>.

ترجمة

تُرجمت هذه الصفحة من الدليل بواسطة زايد السعيدي <zayed.alsaidi@gmail.com>

هذه الترجمة هي وثيقة مجانية؛ راجع رخصة جنو العامة الإصدار 3 أو ما بعده للاطلاع على شروط حقوق النشر. لا توجد أي ضمانات.

إذا وجدت أي أخطاء في ترجمة صفحة الدليل هذه، يرجى إرسال بريد إلكتروني إلى قائمة بريد المترجمين: kde-l10n-ar@kde.org.

7 أبريل 2026 3.6.2