Эта проблема:
Когда я подписываю сообщение сертификатом, который используется для веб-сервера HTTPS, OpenSSL не хочет его проверять.
Подписание сообщения:
echo "TestMessage" | openssl smime \ -sign \ -inkey server-key.pem \ -signer server-crt.pem \ -certfile server-crt.pem \ -noattr -nodetach \ -outform DER \ -out signedmessage.dat
Проверка сообщения:
openssl smime \ -verify \ -in signedmessage.dat \ -inform DER \ -signer server-crt.pem \ -CAfile ca-crt.pem \ Verification failure 34379118248:error:21075075:PKCS7 routines:PKCS7_verify:certificate verify error:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/pkcs7/pk7_smime.c:342:Verify error:unsupported certificate purpose
Теперь я знаю, что мне следовало подписать свое сообщение с помощью сертификата, который позволяет это делать.
Но есть ли способ обойти эту проверку и проверить подпись?
Вот как были созданы CA и сертификат:
Создание ЦС:
openssl req -x509 -new -newkey rsa:4096 -keyout ca-key.pem -out ca-crt.pem
Создание сертификата:
openssl req -new -newkey rsa:4096 -keyout server-key.pem -out server-csr.pem -nodes
openssl ca -config openssl.cnf -extensions server -cert ca-crt.pem -keyfile ca-key.pem -in server-csr.pem -out server-crt.pem
Определение расширения в openssl.cnf:
[ server ] extendedKeyUsage = serverAuth keyUsage = digitalSignature, keyEncipherment ...
Openssl smime в режиме проверки передает -purpose
от опции до вызова openssl verify. Следовательно, вы сможете добавить -purpose sslserver
и пусть это подтвердится. Я тестировал это на версии 1.0.2d, и она работала хорошо.