Bug 19214 - gnutls не верифицирует цепочку из двух сертификатов
: gnutls не верифицирует цепочку из двух сертификатов
Status: CLOSED NOTABUG
: Branch 4.1
(All bugs in Branch 4.1/libgnutls)
: unspecified
: all Linux
: P2 normal
Assigned To:
:
:
:
:
:
  Show dependency tree
 
Reported: 2009-03-17 16:50 by
Modified: 2009-04-16 11:07 (History)


Attachments
ldap-cert.pem (7.94 KB, text/plain)
2009-03-17 17:35, redbaron
no flags Details
cacert.pem (8.06 KB, text/plain)
2009-03-17 17:36, redbaron
no flags Details


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2009-03-17 16:50:13
#certtool -i < ldap-cert.pem | grep -i issu
        Issuer:
C=RU,ST=State,L=City,O=company,OU=SysAdmin,CN=ca.domain.my,EMAIL=admin@domain.my

#certtool -e --load-ca-certificate cacert.pem < ldap-cert.pem
        Issued by:
C=RU,ST=State,L=City,O=company,OU=SysAdmin,CN=ldap.domain.my,EMAIL=admin@domain.my
certtool: Error: The last certificate is not self signed.

В режиме информации он корректно определяет кто выпустил сертификат, а в режиме
верификации думает, что выпустил сертификат он сам, но подписи от него самого
там не стоит.
------- Comment #1 From 2009-03-17 17:00:25 -------
Перевешиваю на мантейнера.
------- Comment #2 From 2009-03-17 17:07:33 -------
По openssl verify  проходит все успешно.
------- Comment #3 From 2009-03-17 17:16:02 -------
хотелось бы увидеть вывод команд:
openssl x509 -in cacert.pem -text
openssl x509 -in ldap-cert.pem -text
------- Comment #4 From 2009-03-17 17:35:09 -------
Created an attachment (id=3376) [details]
ldap-cert.pem
------- Comment #5 From 2009-03-17 17:36:35 -------
Created an attachment (id=3377) [details]
cacert.pem
------- Comment #6 From 2009-03-17 17:56:05 -------
$ cat ldap-cert.txt cacert.txt > chain.pem
$ certtool -e  < chain.pem
Certificate[0]:
C=RU,ST=Tatarstan,L=Kazan,O=Florist.ru,OU=SysAdmin,CN=ldap.florist.my,EMAIL=admin@florist.ru
    Issued by:
C=RU,ST=Tatarstan,L=Kazan,O=Florist.ru,OU=SysAdmin,CN=ca.florist.my,EMAIL=admin@florist.ru
    Verifying against certificate[1].
    Verification output: Verified.

Certificate[1]:
C=RU,ST=Tatarstan,L=Kazan,O=Florist.ru,OU=SysAdmin,CN=ca.florist.my,EMAIL=admin@florist.ru
    Issued by:
C=RU,ST=Tatarstan,L=Kazan,O=Florist.ru,OU=SysAdmin,CN=ca.florist.my,EMAIL=admin@florist.ru
    Verification output: Verified.

также выдержка из certtool --help
     -e, --verify-chain       Verify a PEM encoded certificate chain. 
                              The last certificate in the chain must 
                              be a self signed one.

chain в даном случае это то, что подается на вход. на вход подается
ldap-cert.pem, который не заканчивается самоподписанным. отсюда и "ошибка".

закрываю.