QuickFIX/n ожидает файлы с расширением .pfx. См. http://quickfixn.org/tutorial/configuration.html#ssl.
Это расширение обычно используется для файлов с кодировкой PKCS #12, которые содержат сертификат и закрытый ключ, защищенные паролем.
Возможно, вам потребуется преобразовать ваши файлы .pem, чтобы у вас был один файл .pfx, содержащий ваш закрытый ключ и сертификат, и другой файл, содержащий ваш сертификат ЦС. Затем для параметров конфигурации SSLCertificate и SSLCACertificate сеанса QuickFIX/n следует указать путь к этим двум файлам. SSLCertificatePassword должен содержать пароль.
QuickFIX/n является строгим и требует, чтобы FIX Acceptor (в данном случае Bloomberg EMSX) имел расширенный ключевой атрибут x509v3 «Аутентификация веб-сервера TLS» (1.3.6.1.5.5.7.3.1), который явно присутствовал в сертификате сервера, представляется во время рукопожатия SSL.
В противном случае вы получите сообщение об ошибке в журнале событий сеанса QuickFIX/n:
Удаленный сертификат не предназначен для проверки подлинности сервера: отсутствует расширенное использование ключа 1.3.6.1.5.5.7.3.1
Некоторые акцепторы FIX до сих пор не определяют это в своем сертификате сервера, поэтому, даже если вы попытаетесь преобразовать файлы PEM в PFX, это все равно не сработает.
Вы можете использовать Stunnel, который, похоже, не возражает против того, для какой цели предназначался представленный сертификат сервера. В качестве дополнительного бонуса Stunnel понимает файлы PEM, поэтому конвертировать их не нужно. Однако вы должны знать, что если вашей конечной целью является сквозное шифрование, переход между вашим приложением QuickFIX/n и Stunnel будет осуществляться открытым текстом.
person
theFIXer
schedule
30.08.2017