问--cacert和--capath在curl中的区别？

EN

从docs

--cacert (HTTPS)告诉curl使用指定的证书文件来验证对等项。该文件可能包含多个CA证书。证书必须为PEM格式。如果多次使用此选项，则将使用最后一个选项。

--capath (HTTPS)告诉curl使用指定的证书目录来验证对等项。证书必须是PEM格式，并且目录必须已经使用openssl提供的c_rehash实用程序进行了处理。证书目录在Windows下不受支持(因为c_rehash使用符号墨水链接来创建它们)。如果--cacert文件包含许多CA证书，则使用--capath可以使curl比使用--cacert更有效地建立https连接。如果多次使用此选项，则将使用最后一个选项。

因此，如果指定--cacert，CA证书将存储在指定的文件中。这些CA证书用于验证cURL连接到的远程服务器的证书。

--capath选项用于指定包含CA证书的目录，而不是单个文件。应使用c_rehash实用程序准备目录，即创建必要的链接。如果您有许多CA证书，使用--capath的主要好处似乎是它比--cacert单文件方法更有效。

下面是一个脚本，它可能完成了c_rehash所做的事情：

for file in *.pem; do ln -s $file `openssl x509 -hash -noout -in $file`.0; done

使用这两个选项时，应注意仅包含来自您信任的CA的CA证书。例如，如果您知道远程服务器应始终使用来自YourCompanyCA的证书颁发，则这是您应该包括的唯一CA证书。

在Windows上，您可以将以下内容作为批处理文件运行，并传入capath文件夹名称：

c_rehash.cmd：

@echo off
setlocal enableextensions enabledelayedexpansion
if \%1\ EQU \\ goto :usage
pushd %1
if NOT ERRORLEVEL 0 goto :usage
del *.0
for %%I in (*.pem) do call :hash %%I
popd
goto :eof
:hash
for /F "usebackq" %%J in (`openssl x509 -in %1 -hash -noout`) do mklink %%J.0 %1
goto :eof
:usage
echo Usage:
echo.
echo Rehash a folder of x509 Certificates for Curl
echo.
echo %~n0 ^<Folder^>

示例：

c_rehash c:\cacerts