BabaSSL为何提供了单独的国密双证书加载API？ about tongsuo HOT 3 CLOSED

BabaSSL实现TLCP协议时，提供了单独的双证书加载API，而不是在原生的SSL_CTX_use_certificate函数做适配。这样做有什么特殊的考虑吗？

如下是BabaSSL新增的API，
SSL_CTX_use_sign_certificate
SSL_CTX_use_enc_certificate
SSL_CTX_use_sign_PrivateKey
SSL_CTX_use_enc_PrivateKey
新增API使得上层应用（例如Nginx）也要适配双证书加载的API。之前GMSSL库是在SSL_CTX_use_certificate函数调用里面做了证书X509v3 Key Usage的判断，这样Nginx可以不用改动代码集成TLCP功能。

猜测BabaSSL这样处理的原因是为了兼容国密单证书草案。BabaSSL提供了3个新增槽位用来加载国密证书。一个提供国密单证书草案使用，另外两个提供给国密双证书。
考虑一种场景：Nginx的server同时配置了 国密单证书 和 国密双证书
如果使用原生的SSL_CTX_use_certificate函数做适配时，无法明确单证书和双证书需要加载到那个槽位。

from tongsuo.

猜测BabaSSL这样处理的原因是为了兼容国密单证书草案。BabaSSL提供了3个新增槽位用来加载国密证书。一个提供国密单证书草案使用，另外两个提供给国密双证书。
考虑一种场景：Nginx的server同时配置了 国密单证书 和 国密双证书
如果使用原生的SSL_CTX_use_certificate函数做适配时，无法明确单证书和双证书需要加载到那个槽位。

是的，这就最核心的原因，保证证书间的区分度，方便debug以及做兼容性方案

from tongsuo.

明白了，多谢解答。

from tongsuo.