#56413 – Ошибка при подписи сертификата

Bug 56413 - Ошибка при подписи сертификата

Summary: Ошибка при подписи сертификата

Status:	CLOSED FIXED

Alias:	None

Product:	Branch p11
Classification:	Unclassified
Component:	easy-rsa (show other bugs)
Version:	unspecified
Hardware:	x86_64 Linux

Importance:	P5 normal
Assignee:	cow@altlinux.org
QA Contact:	qa-p11@altlinux.org

URL:
Keywords:

Depends on:
Blocks:

Reported:	2025-10-15 19:13 MSK by Богдан Богуславский
Modified:	2025-11-11 18:00 MSK (History)
CC List:	2 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Богдан Богуславский 2025-10-15 19:13:09 MSK

Стенды:
ALT Server 11.0

Версия пакета:
easy-rsa-3.1.7-alt1.noarch

Шаги воспроизведения:
1. Инициализировать PKI
# easyrsa init-pki
2. Скопировать файл конфигурации vars
# cp /usr/share/easy-rsa/vars.example ./vars
3. Создать корневой сертификат CA
# easyrsa build-ca
4. Сгенерировать запрос на сертификат
# easyrsa gen-req myserver nopass
5. Подписать сертификат корневым CA
# easyrsa sign-req server myserver

Ожидаемый результат:
успешная подпись сертификата

Реальный результат:
Ошибка в терминале:
Using configuration from /etc/openvpn/easy-rsa/pki/openssl-easyrsa.cnf
Enter pass phrase for /etc/openvpn/easy-rsa/pki/private/ca.key:
Could not find CA private key from /etc/openvpn/easy-rsa/pki/private/ca.key
003EDF58327F0000:error:1608010C:STORE routines:ossl_store_handle_load_result:unsupported:crypto/store/store_result.c:151:
003EDF58327F0000:error:1C800064:Provider routines:ossl_cipher_unpadblock:bad decrypt:providers/implementations/ciphers/ciphercommon_block.c:107:
003EDF58327F0000:error:11800074:PKCS12 routines:PKCS12_pbe_crypt_ex:pkcs12 cipherfinal error:crypto/pkcs12/p12_decr.c:92:maybe wrong password

Easy-RSA error:

easyrsa_openssl - Command has failed:
* openssl ca -utf8 -batch -in /etc/openvpn/easy-rsa/pki/reqs/myserver.req -out /etc/openvpn/easy-rsa/pki/9e3e0446/temp.3.1 -extfile /etc/openvpn/easy-rsa/pki/9e3e0446/temp.2.1 -days 825

Дополнительно: не воспроизводится в Sisyphus

Comment 1 Владимир Диденко 2025-10-15 20:00:54 MSK

У меня не воспроизводится. Судя по ошибке - вы неправильно ввели пароль от приватного ключа CA. Советую перепроверить.

Comment 2 Богдан Богуславский 2025-10-20 13:09:55 MSK

(Ответ для Владимир Диденко на комментарий #1)
> У меня не воспроизводится. Судя по ошибке - вы неправильно ввели пароль от
> приватного ключа CA. Советую перепроверить.

Перепроверил еще раз на чистой системе и действительно не воспроизвелось, использовал для проверки пароль 12345678, затем проверил еще раз с паролем Pa$$word и ошибка воспроизвелась в p11, для точности проверки пароль вставлял из буфера обмена

Comment 3 Владимир Диденко 2025-10-20 14:42:10 MSK

(In reply to Богдан Богуславский from comment #2)
тного ключа CA. Советую перепроверить.
> 
> Перепроверил еще раз на чистой системе и действительно не воспроизвелось,
> использовал для проверки пароль 12345678, затем проверил еще раз с паролем
> Pa$$word и ошибка воспроизвелась в p11, для точности проверки пароль
> вставлял из буфера обмена

Так воспроизвелось, спасибо! Проблема с тем, что старый easy-rsa неправильно считывает пароли с символом "$". В новой версии чтение пароля переписали. Сделал таску с копированием новой версии из Сизифа

https://git.altlinux.org/tasks/397786/

Comment 4 Елесин Степан Андреевич 2025-11-11 18:00:25 MSK

Ошибка не воспроизводится на версии:
easy-rsa-3.2.4-alt1