Como fazer o openssl s_client usando o CA padrão

2

existe uma maneira de configurar o openssl para que ele use algum arquivo CA padrão (ex./etc/ssl/certs/ca-certificates.crt) ao executar o comando s_client com nenhuma opção -CAfile especificada?

    
por spoonboy 23.06.2014 / 13:09

1 resposta

5

O arquivo de configuração não é a resposta. Ele é organizado em seções usando linhas com colchetes como [default_CA] e [req_exts] . Há algumas seções que todos os subcomandos openssl leem (para mecanismos e addOIDs), mas além disso, apenas as seções que se aplicam a um subcomando específico e às vezes o modo desse subcomando são usadas, e nenhuma seção se aplica a s_client . / p>

A biblioteca fornece uma rotina SSL_CTX_default_verify_paths para os aplicativos chamarem (e acredito que muitos / a maioria dos outros aplicativos o façam) e a (s) localização (ões) utilizada (s) são de fato dependentes do sistema (ou empacotador) ou também podem ser configurados variáveis ambientais. Mas o s_client.c só chama esta rotina Se você fizer especificar pelo menos um argumento válido - {arquivo, caminho} não se você não o fizer, o que parece ser inútil. Há um ticket sobre isso a partir de 2010 sem nenhuma ação.

    
por 24.06.2014 / 15:27