<div dir="ltr">Hi Viktor,<div><br></div><div>I realized that something like this could be an option a few minutes after I hit "send".  Thanks for the confirmation - I'll give this a shot!<br></div><div><br></div><div>Many thanks!</div><div><br></div><div>Armen</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Sep 10, 2018 at 11:19 PM, Viktor Dukhovni <span dir="ltr"><<a href="mailto:openssl-users@dukhovni.org" target="_blank">openssl-users@dukhovni.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
<br>
> On Sep 11, 2018, at 2:09 AM, Armen Babikyan <<a href="mailto:armen.babikyan@gmail.com">armen.babikyan@gmail.com</a>> wrote:<br>
> <br>
> I have a question regarding openssl and verification of client certificates.  Is there a way to have an openssl-enabled server ask for a client certificate, and when it receives one it can't verify, rather than immediately terminating the handshake, it would allow the connection, but pass some context about the failed verification to the calling application?<br>
<br>
</span>Yes.<br>
<span class=""><br>
> It appears that what I want is not possible from the SSL_VERIFY_* options presented here:<br>
<br>
</span>Actually, SSL_VERIFY_PEER is the right choice, but you also need a<br>
non-null verification callback that continues (by returning 1)<br>
despite failures to verify the client certificate.<br>
<br>
You can check the verification status at the completion of the<br>
handshake via SSL_get_verify_result(3).<br>
<span class="HOEnZb"><font color="#888888"><br>
-- <br>
        Viktor.<br>
<br>
-- <br>
openssl-users mailing list<br>
To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" rel="noreferrer" target="_blank">https://mta.openssl.org/<wbr>mailman/listinfo/openssl-users</a><br>
</font></span></blockquote></div><br></div>