Ed wrote:
ps: меня смущает, что с --cacert остальные сайты работают, например:
.
я думал указывая нужный мне корневой сертификат я говорю curl'у не
доверять больше никому.
разобрался.
если указать --cacert, то curl согласен на указанный CA-сертификат И
на сертификаты из /etc/ssl/certs.
On 15.12.2010 17:42, Ed wrote:
The default
bundle is named curl-ca-bundle.crt; you can specify an alternate file
using the --cacert option.
e...@work:/tmp$ openssl x509 -inform PEM -in ptcomm.pem -text|grep 'CA:'
CA:FALSE
C curl не работал, но судя вашему по письму, ptcomm.pem не должен
On 15.12.2010 17:42, Ed wrote:
есть чужой сайт с самоподписанным сертификатом, ...
curl на него ругается (что и ожидалось):
Любой СА сертификат - самоподписанный, потому то он и СА.
Купленный за $k и сделанный командой ssl ничем не отличаются, кроме того
что купленный уже будет стоять в
On 2010.12.16 at 08:38:19 +, Nicholas wrote:
On 15.12.2010 17:42, Ed wrote:
есть чужой сайт с самоподписанным сертификатом, ...
curl на него ругается (что и ожидалось):
Любой СА сертификат - самоподписанный, потому то он и СА.
Это неправда. Бывают secondary CA, подписанные на primary
Victor Wagner wrote:
Другой вопрос, что самоподписанный сертификат, НЕ СОДЕРЖАЩИЙ расширения
basicConstraints считается сертификатом CA, а рассматриваемый сертификат
содержал это расширение со значеним CA:FALSE.
так что делать? ;)
можно как-то сказать curl'у - этому сертификату я верю?
--
To
Victor Wagner wrote:
Купленный за $k и сделанный командой ssl ничем не отличаются, кроме того
Это если уметь командой ssl пользоваться. По умолчанию скрипты,
которые идут в комплекте OpenSSL делают допотопные сертификаты X509v1,
кладут email в Distinguisted Name, что deprecated (но для того
так что делать? ;)
Почитать мануал?
с этого и начал ;)
можно как-то сказать curl'у - этому сертификату я верю?
1) (правильный способ) подключть сертификат подписавшено ca
--cacert CA certificate
в данном случае такого CA, как я понимаю, нет.
В данном случае сертификат CA
On 16.12.2010 16:42, Artem Chuprina wrote:
так что делать? ;)
Почитать мануал?
с этого и начал ;)
можно как-то сказать curl'у - этому сертификату я верю?
1) (правильный способ) подключть сертификат подписавшено ca
--cacert CA certificate
On 16.12.2010 13:55, Victor Wagner wrote:
On 2010.12.16 at 08:38:19 +, Nicholas wrote:
On 15.12.2010 17:42, Ed wrote:
есть чужой сайт с самоподписанным сертификатом, ...
curl на него ругается (что и ожидалось):
Любой СА сертификат - самоподписанный, потому то он и СА.
Это неправда.
On 16.12.2010 13:59, Ed wrote:
Victor Wagner wrote:
Другой вопрос, что самоподписанный сертификат, НЕ СОДЕРЖАЩИЙ расширения
basicConstraints считается сертификатом CA, а рассматриваемый сертификат
содержал это расширение со значеним CA:FALSE.
так что делать? ;)
можно как-то сказать curl'у -
On 2010.12.16 at 17:02:54 +0300, Ed wrote:
Victor Wagner wrote:
Купленный за $k и сделанный командой ssl ничем не отличаются, кроме
того
Это если уметь командой ssl пользоваться. По умолчанию скрипты,
которые идут в комплекте OpenSSL делают допотопные сертификаты X509v1,
кладут email в
Да, я как-то прогнал. Признаю.
Но подписан-то он тем же ключом, и по логике добавление публичного ключа
в доверенные должно быть достаточно.
Фигня в том, что в доверенные добавляется не ключ, а сертификат. Вместе со
своей служебной информацией. А ключ cacert (ну, там его аргумент тупо
On 16.12.2010 19:18, Artem Chuprina wrote:
Да, я как-то прогнал. Признаю.
Но подписан-то он тем же ключом, и по логике добавление публичного ключа
в доверенные должно быть достаточно.
Фигня в том, что в доверенные добавляется не ключ, а сертификат. Вместе со
своей служебной
Впрочем, мне сложно понять, нафига самоподписанные сертификаты без CA,
когда можно за 10 минут поднять свой CA.
Для этого надо сначала потратить несколько хотя бы часов на изучение
матчасти. Чтобы понимать, что делаешь, а не тупо содрать пример из
интернетов. После чего,
14 matches
Mail list logo
