OpenSSL, Debian a default CApath
Vaclav Stepan
w na zona64.cz
Středa Červen 1 18:34:40 CEST 2005
Dobre odpoledne,
nekolik hodin si hraju s nasledujicim, bud jsem nekde neco osklive
prehledl, nebo nevim. Pripada mi, ze to je skoro ta nejdulezitejsi
vec a nikde na to proste ne a ne narazit...
Muzete mne prosim nekdo postrcit spravnym smerem?
>>> Kde se ve Woodym nastavi default CA path pro OpenSSL?
Jde o tohle:
Na Debianu Woodym (z vetsi casti) mam OpenSSL 0.9.6c a aplikace, ktere
se snazi provest overeni pres SSL. Certifikat druhe strany je podepsany
certifikacni autoritou, jejiz certifikat mam, z neho hash a oboje hozeny
do /etc/ssl/certs/
Kdyz hodim:
openssl s_client -connect kamsi:https=20
Tak v zaveru dostanu:
Verify return code: 21 (unable to verify the first certificate)
Kdyz rucne specifikuji CApath:
openssl s_client -CApath /etc/ssl -connect kamsi:https
tak to korektne korenovy certifikat najde a overi.
Kdyz se na openssl podivam pres strace, tak pri pouziti CApath option
se casem objevi:
stat64("/usr/lib/ssl/certs/f73e89fd.0", ...) = 0
Coz je v poradku. Pokud tam CApath neuvedu, jen se na zacatku nacte
openssl.cnf, ale proste si vubec do /etc/ssl nesahne.
V openssl.cnf ani man strankach nic jako CApath neni. Co s tim?
Predem dekuji
Vaclav Stepan
--
Vaclav Stepan
w na linux.fjfi.cvut.cz
http://linux.fjfi.cvut.cz/~w/
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 189 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20050601/7f9d34cf/attachment.sig>
Další informace o konferenci Linux