Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: ssl сертификат безопасности  (Прочитано 2078 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн konstantoin.p

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
ssl сертификат безопасности
« : 25 Ноября 2019, 06:09:39 »
Добрый день!

Сертификат client.p12, конвертирую из p12 в pem, openssl pkcs12 -in client.p12  -out client.pem -nodes
устанавливается без ошибок
при подключении curl (curl --cacert /home/home/cert/  https://127.0.0.1:111 -v) выдает ошибку curl: (35) gnutls_handshake() failed: Certificate is bad

?

Оффлайн The Green Side

  • Старожил
  • *
  • Сообщений: 1178
    • Просмотр профиля
Re: ssl сертификат безопасности
« Ответ #1 : 25 Ноября 2019, 08:36:18 »
man curl

Цитировать
--cacert <file>
--capath <dir>

Кажется, что-то перепутали  :)
Debian 11, Debian 11 Server

Оффлайн konstantoin.p

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: ssl сертификат безопасности
« Ответ #2 : 25 Ноября 2019, 09:18:16 »
так и так ошибка curl: (35) gnutls_handshake() failed: Certificate is bad

Оффлайн bezbo

  • Старожил
  • *
  • Сообщений: 1751
    • Просмотр профиля
Re: ssl сертификат безопасности
« Ответ #3 : 25 Ноября 2019, 19:56:07 »

Оффлайн konstantoin.p

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: ssl сертификат безопасности
« Ответ #4 : 26 Ноября 2019, 05:52:19 »
путь изменен

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28366
    • Просмотр профиля
Re: ssl сертификат безопасности
« Ответ #5 : 28 Ноября 2019, 00:08:19 »
А что именно в вашем p12? Вангую, что не один сертификат.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн konstantoin.p

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: ssl сертификат безопасности
« Ответ #6 : 28 Ноября 2019, 06:59:07 »
один сертификат, есть мысль, что сертификат предназначен для клиентских машин, а не для сервера, подключался с трех разных серверов, у всех такая ошибка, а локальных ПК подключение проходит без ошибок

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28366
    • Просмотр профиля
Re: ssl сертификат безопасности
« Ответ #7 : 02 Декабря 2019, 00:46:59 »
Тогда,
1. Кончаем играть в шпионов, предоставляем точную и достоверную информацию о производимых действиях.
2. Показываем вывод
openssl pkcs12 -in <вашфайл> -info -noout
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн konstantoin.p

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: ssl сертификат безопасности
« Ответ #8 : 09 Декабря 2019, 13:09:27 »
openssl pkcs12 -in server.crt -info -noout
140639062017688:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1217:
140639062017688:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:386:Type=PKCS12


Пользователь добавил сообщение 09 Декабря 2019, 13:10:52:
openssl pkcs12 -in server.p12 -info -noout
Enter Import Password:
MAC Iteration 2048
MAC verified OK
PKCS7 Encrypted data: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048
Certificate bag
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28366
    • Просмотр профиля
Re: ssl сертификат безопасности
« Ответ #9 : 09 Декабря 2019, 21:45:47 »
$ openssl pkcs12 -in server.p12 -out server.pem -nokeys -chain
$ grep BEGIN server.pem

Вывод сюда.

P.S.
Аналогично можно достать ключ
$ openssl pkcs12 -in server.p12 -out server.key -nocerts -nodesВнимание: опция -nodes сохранит ключ без пароля!
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн konstantoin.p

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: ssl сертификат безопасности
« Ответ #10 : 11 Декабря 2019, 07:18:48 »
 openssl pkcs12 -in server.p12 -out server.pem -nokeys -chain
Enter Import Password:
MAC verified OK

grep BEGIN server.pem
-----BEGIN CERTIFICATE-----

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28366
    • Просмотр профиля
Re: ssl сертификат безопасности
« Ответ #11 : 12 Декабря 2019, 12:12:19 »
openssl x509 -in server.pem -noout -text

Вывод под спойлер.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн konstantoin.p

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: ssl сертификат безопасности
« Ответ #12 : 18 Декабря 2019, 06:07:10 »
openssl x509 -in server.pem -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 4 (0x4)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=CN, ST=GuangDong, O=Huawei Technologies, OU=U2000 Development Department, CN=networkossCA/emailAddress=networkossCA@huawei.com
        Validity
            Not Before: Sep 16 04:56:00 2014 GMT
            Not After : Sep 16 04:00:00 2037 GMT
        Subject: C=CN, ST=GuangDong, O=Huawei Technologies, OU=U2000 Development Department, CN=server/emailAddress=server@huawei.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:b7:a9:e7:81:92:22:1d:69:39:a5:5d:b9:e3:1f:
                    09:90:e6:06:92:0f:43:12:6a:d2:72:f1:04:9b:22:
                    fe:a8:68:55:f3:0e:3a:44:3c:ac:1f:98:d5:cf:33:
                    61:ea:17:84:4a:72:d2:98:cb:9d:2e:e6:d6:17:e5:
                    5f:b9:19:78:d0:a6:d7:09:24:6b:e3:1a:65:fd:af:
                    6c:85:90:72:81:92:cf:88:5a:1c:02:5a:d7:4b:30:
                    6a:ea:ae:c4:0c:44:30:08:03:92:c6:2b:70:21:16:
                    de:ae:33:c9:cb:c4:41:bb:3e:bf:73:26:95:4f:32:
                    0a:bd:57:5c:d3:56:7a:cc:0f:f7:c3:38:8d:9f:6c:
                    59:d7:12:82:3e:27:87:84:5e:8e:a4:5b:d3:a9:19:
                    ad:c9:08:b5:f1:6d:2b:59:50:25:e8:86:77:65:e9:
                    ad:4a:37:9e:cd:5c:3b:7c:2e:73:fd:6f:fe:82:2e:
                    c1:3c:52:d0:91:a2:32:4a:a2:04:69:3d:ff:32:6d:
                    3c:81:af:87:6a:25:07:d0:28:3e:b4:ac:fe:f3:8e:
                    5a:8f:db:8a:09:36:59:a2:a3:ad:d0:82:f5:ee:45:
                    cf:c2:51:74:dc:ac:fe:cc:a7:e3:a3:11:a0:aa:e7:
                    90:27:8e:88:e9:e2:4f:70:1a:d0:e7:bd:24:85:1b:
                    c4:17
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Subject Key Identifier:
                A3:66:C8:31:4E:07:7B:0E:61:E4:C1:C6:3E:C6:C7:8D:15:50:2C:C8
            X509v3 Authority Key Identifier:
                keyid:94:4D:0A:EF:CB:37:07:E0:DD:67:4B:BF:5B:4B:6D:CA:68:F6:D4:D5
                DirName:/C=CN/ST=GuangDong/O=Huawei Technologies/OU=U2000 Development Department/CN=huaweiossCA/emailAddress=huaweiossCA@huawei.com
                serial:01

            Netscape Comment:
                xca certificate
    Signature Algorithm: sha256WithRSAEncryption
         67:27:db:52:fb:39:dc:b6:16:83:10:b0:99:16:88:66:63:69:
         82:62:ba:ae:f9:67:a8:d5:bd:a2:42:d5:a7:f1:3b:53:76:c6:
         f9:f6:9c:91:ef:fb:6d:74:4a:23:27:da:de:48:96:07:03:a8:
         3a:23:bb:b3:13:db:c9:8f:64:08:db:37:1f:49:9c:44:59:29:
         0d:b7:31:77:78:fd:86:e8:a2:04:b5:a4:3a:f0:85:8d:79:b4:
         30:52:26:e2:29:94:73:24:48:81:0e:c4:31:ac:1c:80:d1:30:
         e3:83:df:71:81:29:88:73:47:44:dc:a0:80:eb:47:d1:e5:38:
         d8:cc:b8:d2:03:d0:67:8b:f2:22:49:88:83:ae:46:d2:d4:44:
         4f:13:fc:a2:d2:5d:0c:45:f2:d9:ea:f0:88:d1:20:5c:09:cd:
         aa:7c:6a:87:9b:df:36:22:20:96:5d:45:32:09:11:5d:8e:2a:
         72:bb:3c:dd:89:23:d0:be:c5:e8:0c:85:42:37:99:03:14:57:
         8b:31:1c:47:9b:ce:06:bc:6a:a0:07:d4:e6:ff:3f:c6:72:f1:
         67:ef:c3:38:00:e9:e8:22:a8:42:d9:5c:d5:70:c1:3d:87:b8:
         2f:05:2e:d0:40:4c:36:f5:65:87:b8:03:26:4e:29:98:d6:e9:
         81:5f:09:3e:e3:c4:a1:a7:d3:f1:40:47:cf:64:10:4f:a7:97:
         5a:1a:b3:7e:70:37:30:aa:1e:b5:94:b1:ce:59:87:d7:e3:17:
         2d:2f:ce:c5:0d:db:f2:12:94:89:5b:1b:da:87:cd:c3:19:9e:
         5b:26:08:7c:3a:44:2a:96:f4:4b:21:d4:74:a3:a2:4e:1d:19:
         35:0c:f0:16:7f:00:77:73:5d:f6:ee:6f:99:eb:58:a5:5e:c2:
         61:93:73:11:72:ab:31:26:a8:d6:1b:89:66:0e:72:01:7f:8c:
         9d:d4:6c:8a:1c:ea:dd:6c:c4:ad:04:13:b0:38:af:ed:55:96:
         91:ed:65:2d:5a:b8:fd:8e:f8:a9:76:c5:99:d7:37:74:a0:78:
         d1:b9:f1:b2:09:a3:f0:b0:f9:4f:21:8b:ac:d5:8d:08:1e:51:
         c1:4e:04:10:33:7f:45:26:4f:c3:4a:c4:a2:63:02:dc:03:3c:
         da:40:e7:f3:9e:fc:a8:9c:5b:6b:e9:12:e4:ba:1f:d5:d1:5a:
         b2:db:9f:11:00:bd:c3:a5:c0:97:af:18:b7:e7:d5:ac:25:02:
         82:51:6b:ec:14:3b:2a:10:d7:15:59:86:6e:6c:d2:0a:23:28:
         15:18:40:2f:cb:58:31:a7:55:38:05:a5:48:c2:af:69:57:25:
         66:be:50:43:c9:17:fb:d8
« Последнее редактирование: 20 Января 2020, 12:40:18 от Aleksandru »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28366
    • Просмотр профиля
Re: ssl сертификат безопасности
« Ответ #13 : 18 Декабря 2019, 09:58:27 »
Это вообще сертификат для каких-то спецопераций.
Нормальный серверный сертификат должен иметь намного больше расширений.
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Data Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, E-mail Protection, TLS Web Client Authentication
            X509v3 Subject Key Identifier:
                61:A0:A7:DD:CA:FB:52:24:F0:E7:23:B2:62:26:5A:78:AB:3B:BA:48
            X509v3 Authority Key Identifier:
                keyid:4D:1E:89:9B:E7:9B:AA:75:2E:99:C9:AE:0C:B8:87:C0:D1:A4:05:63
                DirName:/C=RU/L=Moscow/CN=Andrey Repin/emailAddress=anrdaemon@rootdir.org
                serial:B5:1C:66:2B:1B:0A:E5:1E

            X509v3 Issuer Alternative Name:
                email:anrdaemon@rootdir.org
            Authority Information Access:
                CA Issuers - URI:https://ca.rootdir.org/ca.cer

            X509v3 CRL Distribution Points:

                Full Name:
                  URI:https://ca.rootdir.org/ca.crl

            X509v3 Subject Alternative Name:
                email:anrdaemon@rootdir.org, DNS:ca.rootdir.org
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн konstantoin.p

  • Автор темы
  • Новичок
  • *
  • Сообщений: 16
    • Просмотр профиля
Re: ssl сертификат безопасности
« Ответ #14 : 18 Декабря 2019, 12:36:34 »
запрошу другой сертификат у Huawai

 

Страница сгенерирована за 0.035 секунд. Запросов: 22.