OpenSSL, Debian a default CApath

Vaclav Stepan w na linux.fjfi.cvut.cz
Čtvrtek Červen 2 15:08:39 CEST 2005


Dobre odpoledne,

Aha, asi jsem to formuloval nesrozumitelne...
Jde mi to, jestli jde (a jak) zajistit, aby se vzdycky pouzilo nastaveni
CApath /etc/ssl, aniz by to openssl (binarce) ci third-party aplikaci
bylo treba nejak rucne rict.

Konkretni cil je donutit Sylpheed a dalsi aplikace, ktere pouzivaji
OpenSSL k verifikaci SSL certifikatu druhe strany, aby pouzily
certifikaty dane do /etc/ssl a nebylo nutno upravovat ty samotne
aplikace (jak zminujete dole).

Cekal jsem, ze do openssl.cnf pujde hodit neco jako DefaultCApath = ....
ale nikde ne a ne najit nejakou podobnout volbu.

Znamena to, ze takova volba z nejakeho ideoveho duvodu ani neexistuje
a vzdycky je vec aplikace, aby si to osetrila?

Dekuji za odpoved

Vaclav Stepan


On Thu, 2 Jun 2005 14:08:09 +0200 (CEST)
"Pavel Kankovsky" <peak na argo.troja.mff.cuni.cz> wrote:

> On Wed, 1 Jun 2005, Vaclav Stepan wrote:
> 
> > Kdyz rucne specifikuji CApath:
> > openssl s_client -CApath /etc/ssl -connect kamsi:https
> [...]
> > V openssl.cnf ani man strankach nic jako CApath neni. Co s tim?
> 
> Kterou manualni stranku myslite?
man 5 config
 
> Na strance k s_clientovi samozrejme CApath je. :)
No jo, ale s_client mi nepomuze.

> Aha, vy asi myslite, co mate udelat ve svem programu.
> No rekl bych, ze asi treba zavolat SSL_CTX_load_verify_locations()
> Automaticky se to asi neprovede.
> 
> A propos:
> 
> > stat64("/usr/lib/ssl/certs/f73e89fd.0", ...) = 0
> 
> Nespoustelo se to nahodou s CApath /etc/ssl? (Nebo to mate nejak 
> nalinkovane?)

Jo, prave. Takhle to vypada, kdyz rucne openssl pustim s CApath
/etc/ssl.
 -- 
Vaclav Stepan
w na linux.fjfi.cvut.cz
http://linux.fjfi.cvut.cz/~w/


Další informace o konferenci Linux