Paul Yang

> 是的，但是好像并没有考虑加密证书和签名证书来自不同CA的情况，也就是在拼接证书链的时候，证书链中的CA都是签名证书的CA，并没有加密证书的CA，不知道是否是我看的有遗漏 这个就是比较模糊的地方，根据实际情况来看，我们现有的非BabaSSL联调对象，比如一些国产浏览器或者其他密码厂商的设备，基本都是签名和加密证书都来自于相同的CA，所以相同CA的话就没必要重复构建证书链，证书链太长对性能有损。而且我不太了解是不是在实际应用中真正存在两个证书来自于不同CA的情况（如果你那有实际应用案例但是不方便公开，可以私聊下），我比较好奇这个 ;-)

所以可能问题的根源是，两个证书来自于不同的CA这总情况是否合规，不知道 @zhsnew 总是否了解？

这些都是内部符号，不需要导出，一般来讲上层app不应该直接使用这些结构体

你是啥场景需要直接引用这些结构体？

是的，就是这个函数，具体的调用流程可以参考：https://babassl.github.io/manpages/man7/SM2.html

你具体遇到啥问题了？是Netty里用到了非socket形式的BIO么？

不改nginx的话，我理解配置双证书的话只能复用nginx目前的directive，这样一来配置就会不清晰，所以我们选择的是增加新NGINX directive的路线

目前只能case by case的处理，比如我们之前和360浏览器以及TASSL调通过GM/T 0024，其他厂商的就得具体问题具体分析了……

> 国密tls1.3中是不是克服了这类问题 是的，前提是严格按照8998来实现即可

Would probably get that done in next BabaSSL 8.4