Re: curl и самоподписанные сертификаты

To: debian-russian@lists.debian.org
Subject: Re: curl и самоподписанные сертификаты
From: Nicholas <spam@networkgate.us>
Date: Thu, 16 Dec 2010 10:53:08 +0000
Message-id: <[🔎] iedcod$evd$1@dough.gmane.org>
In-reply-to: <[🔎] 4D0A1B30.3020204@yandex.ru>
References: <[🔎] 4D08FE13.8070400@yandex.ru> <[🔎] ied4rk$54v$1@dough.gmane.org> <[🔎] 20101216135532.GA27912@wagner.pp.ru> <[🔎] 4D0A1B30.3020204@yandex.ru>

On 16.12.2010 13:59, Ed wrote:

Victor Wagner wrote:

Другой вопрос, что самоподписанный сертификат, НЕ СОДЕРЖАЩИЙ расширения
basicConstraints считается сертификатом CA, а рассматриваемый сертификат
содержал это расширение со значеним CA:FALSE.


так что делать? ;)
можно как-то сказать curl'у - "этому сертификату я верю"?


надо что бы оба сертификата:
 curl-ca-bundle.crt
и вашего сайта, были подписанны одним ключом, umho.

А сами сертификаты имели отрибуты "использовать для клиента""использовать для сервера".

Причем оба серта могут иметь оба атрибута и еще несколько.


По крайней мере у opnenvpn так.


----------------------------------------------------
Может пригодиться - из заметок:

Сертификат содержит публичный ключ, подписанный CA (или комплементарнымсекретным ключом), данные об организации, выдавшей сертификат и, внекоторых случаях, зашифрованный секретный ключ, а также отпечаток (хеш)публичного ключа.

x509 - стандарт определяющий общее содержание сертификатов
PKCS#10 (формат записи сертификата, в openssl по умолчанию )
PKCS#12 (или pfx)  - формат записи сертификата от m$.

DER - при использовании DER-формата убираются маркеры начала и концасертификата, а его содержимое кодируется base64, поэтому в файле DERможно хранить только один сертификат, с другой стороны DER сертификатыподдерживаются M$ (стандартное расширение .cer). Может использоватьсядля запроса на серт.keytool -list -v -keystore keystore.jks -storepass changeit(посмотреть сертификаты в jks)openssl rsa -noout -text -in client01.key (посмотреть данныеключа)openssl req -noout -text -in client01.csr (посмотреть данныезапроса на серт)openssl x509 -in file(ca).crt -text (посмотретьданные сертификата)

openssl pkcs12 -in file.p12 -info -nodes > file

openssl s_client -connect server:port -showcerts # Команда для того,чтобы вытащить из ssl-enabled сервиса серверный сертификат

openssl x509 -inform PEM -in cert.pem -outform DER -out cert.cer(конвертировать pem в der)openssl x509 -inform DER -in cert.cer -outform PEM -out cert.pem(конвертировать der в pem)

openssl pkcs8 - преобразование в pkcs8 и обратно

openssl pkcs12 -export -in client.pem -inkey client-key.pem -outclient.p12 -name "Client certificate from our organization"(конвертировать pem в pkcs12)

openssl pkcs12 -in client.p12 -out client.pem (конвертировать pkcs12 в pem)

openssl genrsa -out ng_ca_key.pem -rand randfile -des3 4096 (создатьприватный ключ)openssl req -new -x509 -key ca_key.pem -out ca_cert.pem -days 3650 (-config cfg) (создать self-signed на основе приватного)


--
Sincerely,
	Nicholas

Reply to:

References:
- curl и самоподписанные сертификаты
  - From: Ed <spied@yandex.ru>
- Re: curl и самоподписанные сертификаты
  - From: Nicholas <spam@networkgate.us>
- Re: curl и самоподписанные сертификаты
  - From: Victor Wagner <vitus@wagner.pp.ru>
- Re: curl и самоподписанные сертификаты
  - From: Ed <spied@yandex.ru>

Prev by Date: Re: curl и самоподписанные сертификаты
Next by Date: Re: curl и самоподписанные сертификаты
Previous by thread: Re: curl и самоподписанные сертификаты
Next by thread: Re: curl и самоподписанные сертификаты
Index(es):
- Date
- Thread