Помогите разобраться с сертификатами, Nightman_Sha, 16-Июл-22, 17:16 [смотреть все]Добрый день! Подключаемся к стороннему сервису по https. Нам владельцы сервиса https дали сертификат для взаимодействия, в формате cer. Перевел в формат pem успешно. На моей стороне oracle linux . попробовал добавить сертификаты вот так: -- update-ca-trust force-enable cp /home/myhome/Keys/cert.pem /etc/pki/ca-trust/source/anchors update-ca-trust extract --Потом взял думаю проверю : NONPROD [root@xxxx]# openssl verify -show_chain cert.pem C = KZ, ST = Чето, L =Чето, O = SomeOrg JSC, OU = Development, CN = *.xxx.com error 20 at 0 depth lookup: unable to get local issuer certificate error cert.pem: verification failed Проверка curl NONPROD [root@xxxxT]# curl --cacert /home/myhome/Keys/cert.pem /home/ -v --connect-timeout 5 https://verylongname.com/ws/ptp_dbz.wsdl * Trying 1.1.1.1 * TCP_NODELAY set * Connected verylongname.com (1.1.1.1) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * successfully set certificate verify locations: * CAfile: /home/myhome/Keys/cert.pem CApath: none * TLSv1.3 (OUT), TLS handshake, Client hello (1): * TLSv1.3 (IN), TLS handshake, Server hello (2): * TLSv1.2 (IN), TLS handshake, Certificate (11): * TLSv1.2 (OUT), TLS alert, unknown CA (560): * SSL certificate problem: unable to get local issuer certificate * Closing connection 0 curl: (60) SSL certificate problem: unable to get local issuer certificate More details here: https://curl.haxx.se/docs/sslcerts.html Непонятно, что теперь делать? Можно ли как то обмануть систему. Или владельцы сервиса https дали мне неполный набор сертификатов Заранее благодарю за ответ |
- Помогите разобраться с сертификатами, tester, 02:15 , 17-Июл-22 (1)
- Помогите разобраться с сертификатами, Nightman_Sha, 12:00 , 17-Июл-22 (4)
> точно также openssl x509 покажет тебе серт то что они дали там > видно будет openssl x509 -in cert.pem -text -- Certificate: Data: Version: 3 (0x2) Serial Number: 12:00:04:55:a7:aa:bb:8b:39:c0:3b:04:76:00:06:00:04:55:a7 Signature Algorithm: sha256WithRSAEncryption Issuer: DC = com, DC = someOutOrg, CN = someOutOrg-IssuingCA Validity Not Before: Nov 5 10:08:49 2019 GMT Not After : Nov 4 10:08:49 2022 GMT Subject: C = KZ, ST = Somewhere, L = Somewhere, O = someOutOrg JSC, OU = Development, CN = *.someOutOrg.com Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public-Key: (4096 bit) Modulus: <skip> Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Alternative Name: DNS:*.someOutOrg.com X509v3 Subject Key Identifier: 91:88:AF:CA:AA:53:1E:88:40:67:A8:CB:A2:9A:1B:9A:15:26:BC:EE X509v3 Authority Key Identifier: keyid:5B:15:38:BA:4B:6D:61:E6:AA:80:5B:06:74:F8:24:4A:EF:15:2F:12 X509v3 CRL Distribution Points: Full Name: URI:ldap:///CN=someOutOrg-IssuingCA(5),CN=myCA,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=someOutOrg,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint URI:http://myCA.someOutOrg.com/CertEnroll/someOutOrg-IssuingCA(5).crl URI:file:////myCA.someOutOrg.com/CertEnroll/someOutOrg-IssuingCA(5).crl Authority Information Access: CA Issuers - URI:ldap:///CN=someOutOrg-IssuingCA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=someOutOrg,DC=com?cACertificate?base?objectClass=certificationAuthority CA Issuers - URI:http://myCA.someOutOrg.com/CertEnroll/someOutOrg-IssuingCA(6).crl X509v3 Key Usage: critical Digital Signature, Key Encipherment 1.3.6.1.4.1.311.21.7: 0-.%+.....7.........B.....X...@.F...z...i..d... X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication 1.3.6.1.4.1.311.21.10: 0.0 ..+.......0 ..+....... Signature Algorithm: sha256WithRSAEncryption <skip> -----BEGIN CERTIFICATE----- <skip> -----END CERTIFICATE----- А что это дает?
- Помогите разобраться с сертификатами, муу, 11:27 , 17-Июл-22 (2)
- Помогите разобраться с сертификатами, Nightman_Sha, 11:44 , 17-Июл-22 (3)
> есть мнение что спрашивающий некомптентен и вообще не в курсе что ему > дали и зачем > есть мнение что это клиентский сертификат для авторизации на ресурсе и подписан > он собственной CA ресурса Очевидно. >> Непонятно, что теперь делать? Можно ли как то обмануть систему. Или владельцы сервиса https дали мне неполный набор сертификатов > нанять админа Ваше мнение очень важно для меня. Но похоже вы тоже, не очень понимаете, что сказать, поэтому к чем сотрясать воздух - не понятно.
- Помогите разобраться с сертификатами, муу, 15:28 , 17-Июл-22 (9)
- Помогите разобраться с сертификатами, Nightman_Sha, 16:26 , 17-Июл-22 (10)
>> есть мнение что спрашивающий некомптентен и вообще не в курсе что ему >> дали и зачем >> есть мнение что это клиентский сертификат для авторизации на ресурсе и подписан >> он собственной CA ресурса > Очевидно. >>> Непонятно, что теперь делать? Можно ли как то обмануть систему. Или владельцы сервиса https дали мне неполный набор сертификатов >> нанять админа > Ваше мнение очень важно для меня. Но похоже вы тоже, не очень > понимаете, что сказать, поэтому к чем сотрясать воздух - не понятно. Остался без работы? Ну не печалься. Все образуется
- Помогите разобраться с сертификатами, ннова, 12:10 , 17-Июл-22 (5)
- Помогите разобраться с сертификатами, Тот Самый, 03:03 , 19-Июл-22 (14)
- Помогите разобраться с сертификатами, BarS, 13:44 , 20-Июл-22 (15)
- Помогите разобраться с сертификатами, Аноним, 13:31 , 21-Июл-22 (16)
- Помогите разобраться с сертификатами, cylon, 14:54 , 26-Июл-22 (17)
- Помогите разобраться с сертификатами, cylon, 15:05 , 26-Июл-22 (18)
|