ssl - 我应该如何在 BoringSSL 中使用 TLS_with_buffers_method() 与带有自签名证书的 OpenSSL 服务器通信？

1) 正如PORTING.md后面几行所说

为了使用缓冲区，应用程序代码还需要使用 SSL_[CTX_]set_custom_verify 实现自己的证书验证。否则，所有连接都将失败并出现验证错误。使用缓冲区时也会禁用自动链接。

所以看起来你需要这样做。请注意，它说的是all，而不仅仅是自签名。真可惜。

2) 使用 OpenSSL 创建自签名证书不需要x509 subcommand。正如您链接上的答案正确地说，您可以执行两个步骤，例如

openssl req -newkey parms -keyout keyfile -out reqfile # create key and CSR 
# if you want RSA with size per the config file, you can use -new (without value) instead
openssl x509 -req reqfile -signkey keyfile -out certfile # create cert from CSR

或者像这样的一个步骤

openssl req -newkey parms -x509 -keyout keyfile -out certfile # create key and directly create cert 
# ditto
# that's the DASH-x509 OPTION on the req COMMAND, not the x509 COMMAND

另外，您还可以使用不同的第二步，例如

openssl req -newkey parms -keyout keyfile -out reqfile # create key and CSR 
# ditto
openssl ca -in reqfile -selfsign -keyfile keyfile # create selfsigned cert from CSR
# but this also requires some other files to be set up and/or options added

结果是一样的。如果你想添加扩展，现在你经常特别为 SSL/TLS 做，这三种方法都可以这样做，但细节略有不同，所以要正确，你必须查看手册页部分实际上是为了你在做什么。

还有更多选择；您可以单独创建密钥（并且有多个选项） ，然后使用其中一个req -new -key f（但不是-newkey），后跟一个x509 -req或ca -selfsign -in，或者只是req -new -x509 -key f（同上）。

但是所有这些最终都得到了相同的证书，证书不是你的问题，BoringSSL API 是。