Dave379776966

> 需求背景： 因为我们的私钥文件是存在UsbKey里面的，但是UsbKey不能读出介质之外，所以想知道BaBaSSL的引擎能不能达到证书认证的过程，如果可以的话，有没有相关参考文章，谢谢@InfoHunter @InfoHunter @dongbeiouba 两位大佬能回复一下么

> 基于Engine的方式，BabaSSL + 密码卡（包括支持国密算法和国际算法的加速/加密卡），是可以工作的；私钥存储于密码卡内，进行身份认证也是OK的。 但是我们和国密相关人员已经沟通了，他们说即使私钥加密后放在加密卡是也是不能通过商密认证的。

> 基于Engine的方式，BabaSSL + 密码卡（包括支持国密算法和国际算法的加速/加密卡），是可以工作的；私钥存储于密码卡内，进行身份认证也是OK的。 @dongbeiouba 这个方案咱们有相关的操作手册吗，如果有发个链接

> > 但是我们和国密相关人员已经沟通了，他们说即使私钥加密后放在加密卡是也是不能通过商密认证的。 > > 这个太笼统了，目前从BabaSSL角度没法给更好的建议 对于私钥这种需要极高安全存储的话，咱们都是怎么存储的，如何才能达到过检的要求呢？ @InfoHunter

> 我们是否有计划支持SKF引擎的接口？

> 有，计划下个大版本8.4.0支持 大概得多长时间？ 能先出来一个小版本吗？

@sunxiao2010n 兄弟解决没有，我们公司也需要这个 @Paul Yang 求回复

> https://github.com/BabaSSL/BabaSSL/wiki/NTLS%E4%BD%BF%E7%94%A8%E6%89%8B%E5%86%8C 请教一下如下【单证书】是怎么体现出来的？@InfoHunter 支持RFC 8998，即TLS 1.3 + 国密单证书

> https://github.com/BabaSSL/BabaSSL/wiki/NTLS%E4%BD%BF%E7%94%A8%E6%89%8B%E5%86%8C 不知道如下问题解决没有？ 重要说明 由于国密双证书的握手流程和协议版本号与标准tls流程存在一定的不同，因此我们选择将双证书的实现(代码里命名为ntls)同现有的tls状态机拆分开来，然后在入口处通过对请求的版本号进行识别，然后使其进入正确的状态机。然而比较麻烦的是，openssl的bio体系并没有实现msg_peek的功能，因此目前的实现是通过获取链接的fd，然后通过recv(fd, MSG_PEEK)的形式来获取链接的协议的，造成的困扰是如果你实现了一套非socket形式的bio，则无法使用这个功能，该问题我们后续会视情况进行修复

> @dongbeiouba 证书链的生成是你和你们的一样的，至于测试程序我们是通过SSL_CTX相关接口自己写的。 看见你们的命令行测试是通的，能给个程序测试demo，发我们个链接，并说明哪个版本的BaBaSSL,可以吗？