Re: openssl и self-signed сертификаты
Dmitriy Pinchukov -> debian-russian@lists.debian.org @ Wed, 17 Sep 2008 12:33:08 +0300:
DP> Вот встала проблема. Есть машина с дебианом. Есть удаленный сервис,
DP> отвечающий по https, сертификат там самоподписанный. Все бы ничего,
DP> когда разный клиентский софт запускается интерактивно, и там
DP> предлагается вариант "accept the certificate permanently". Один раз
DP> проакцептил -- и дальше все работает. Проблема возникает, когда
DP> такой софт запускается неинтерактивно, в скриптах. Можно, конечно,
DP> использовать expect, как вариант. Но мне хочется решить проблему
DP> красивее, а именно, заставить openssl в масштабах всей системы
DP> доверять конкретному сертификату, тогда весь софт, юзающий openssl,
DP> на него ругаться перестанет.
DP> Возможно ли это и как, если да? Гуглил, конечно, но толком что-то
DP> не нашел ничего.
Ну, во-первых, openssl как софт (т.е. утилита openssl) по https может
ходить только с помощью команды s_client, которая по умолчанию вообще
ничего не проверяет. Софт же, пользующийся openssl как библиотекой,
обычно имеет настройку "доверенные сертификаты", чаще звучащую как
"сертификаты CA". Существует два "штатных" способа показать библиотеке
такие сертификаты - сложить их все в один файл или организовать
специальным образом директорию. Как правило, софт, использующий libssl,
понимает оба.
Формат директории описан, насколько я вижу, в мане на verify.
Собственно настройка у каждого софта своя, естественно, но что-то мне
подсказывает, что у тебя его не как грязи, а хорошо если штук пять
наберется...
Да, браузеры к сертификатам CA в норме относятся отдельно. В смысле
имеют свое хранилище. Может быть, браузеры, встроенные в DE, типа
конкверора, пользуются общеDEшным. Но общесистемным не пользуются, да и
нету на него стандарта.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Танк - это не фаллический символ. Он просто _едет_...
(С)энта
Reply to: