Во-первых, я узнал, что сертификаты, которые s_client получает параметром CAfile, используются не только для верификации серверных сертификатов, но и для построения цепочки сертификатов, которая при включенной клиентской аутентификации по сертификатам уходит на сервер. Неожиданно, но логично. Не сталкивался я с этим раньше, потому что сегодня цепочку из 3 суб-CA попалась мне в руки впервые. Ну ок, добрые люди рассказали, и дальше тестовый коннект из командной строки прошел.
И началось во-вторых. Скрипт на Perl, принимавший все пути к сертификатам в качестве параметров, коннектиться не желал ни в какую. Пока я не выяснил, что IO::Socket::SSL без параметра SSL_verify_mode, выставленного в ненулевое значение, игнорирует параметр SSL_ca_file.
После этого удивляться тому, что в поисковой форме автокомплит любезно предложил выбор между "IO::Socket::SSL" и "шапочка из фольги", уже не приходится.
This entry was originally posted at http://beldmit.dreamwidth.org/422736.html. Your comment? (
