Denis Shaposhnikov wrote:
> Andrey> Может, таки разными сертификатами подписано?
>
> Как это проверить?
>
В выводе этих команд есть данные о подписавшей стороне. Но без поллитра
во всем этом многообразии не разберешься.:)
> Да и как оно может быть разными сертификатами подписано, если я при
> генерации клиентского сертификата сделал -sign с этим cacert.pem?
> Может имеет значение то, что cacert.pem self-signed?
>
Нет. Вот то, что тот, которым signed должен иметь всякие флаги, типа:
X509v3 Basic Constraints:
CA:TRUE
X509v3 Key Usage: critical
Digital Signature, Non Repudiation, Key Encipherment,
Data Encipherment, Certificate Sign, CRL Sign
Или в теримнах конфига:
[ v3_req ]
subjectAltName = email:copy
basicConstraints = CA:true
keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment,
dataEncipherment, keyCertSign, cRLSign
nsCertType = sslCA
Хотя, вчера у меня и безо всех этих ухищрений заработало. Это для
токена, как выяснилось, нужны такие рюшечки.:(
Дабы не перегружать рассылку - сделал небольшое howto
.
--
Best regards, Andrey Y. Ostanovsky
St. Petersburg
