OpenSSL, Debian a default CApath
Vaclav Stepan
w na linux.fjfi.cvut.cz
Čtvrtek Červen 2 15:08:39 CEST 2005
Dobre odpoledne,
Aha, asi jsem to formuloval nesrozumitelne...
Jde mi to, jestli jde (a jak) zajistit, aby se vzdycky pouzilo nastaveni
CApath /etc/ssl, aniz by to openssl (binarce) ci third-party aplikaci
bylo treba nejak rucne rict.
Konkretni cil je donutit Sylpheed a dalsi aplikace, ktere pouzivaji
OpenSSL k verifikaci SSL certifikatu druhe strany, aby pouzily
certifikaty dane do /etc/ssl a nebylo nutno upravovat ty samotne
aplikace (jak zminujete dole).
Cekal jsem, ze do openssl.cnf pujde hodit neco jako DefaultCApath = ....
ale nikde ne a ne najit nejakou podobnout volbu.
Znamena to, ze takova volba z nejakeho ideoveho duvodu ani neexistuje
a vzdycky je vec aplikace, aby si to osetrila?
Dekuji za odpoved
Vaclav Stepan
On Thu, 2 Jun 2005 14:08:09 +0200 (CEST)
"Pavel Kankovsky" <peak na argo.troja.mff.cuni.cz> wrote:
> On Wed, 1 Jun 2005, Vaclav Stepan wrote:
>
> > Kdyz rucne specifikuji CApath:
> > openssl s_client -CApath /etc/ssl -connect kamsi:https
> [...]
> > V openssl.cnf ani man strankach nic jako CApath neni. Co s tim?
>
> Kterou manualni stranku myslite?
man 5 config
> Na strance k s_clientovi samozrejme CApath je. :)
No jo, ale s_client mi nepomuze.
> Aha, vy asi myslite, co mate udelat ve svem programu.
> No rekl bych, ze asi treba zavolat SSL_CTX_load_verify_locations()
> Automaticky se to asi neprovede.
>
> A propos:
>
> > stat64("/usr/lib/ssl/certs/f73e89fd.0", ...) = 0
>
> Nespoustelo se to nahodou s CApath /etc/ssl? (Nebo to mate nejak
> nalinkovane?)
Jo, prave. Takhle to vypada, kdyz rucne openssl pustim s CApath
/etc/ssl.
--
Vaclav Stepan
w na linux.fjfi.cvut.cz
http://linux.fjfi.cvut.cz/~w/
Další informace o konferenci Linux