Форум

/ домой \ \ темы /



Тема: OpenSSL

31/08/2007 04:39 xd:
Макс, не расскажете, как именно можно подключить к shttp OpenSSL-библиотеки? При любой попытке это сделать, shttp говорит, что **Error. Can`t load TLS/SSL library.
А с seclib.dll не воспринимает сгенеренные OpenSSL ключи и CA
31/08/2007 04:41 xd:
И ещё - как сделать, чтобы http-сервер работал только через SSL? Такое вообще в shttp возможно?
04/09/2007 06:22 xd:
Да, конфигурация - XPsp2, shttp 3.05.71a rus, OpenSSL 0.9.8e
04/09/2007 06:45 Max:
Я не понял какую библиотеку сервер не может подключить.
Seclib воспринимает сгенеренные ключи, в качестве примера вы можите воспользоваться этим скриптом smallsrv.com/gsert.cgi
или дайте две команды:
openssl genrsa 1024 > ks.pem
openssl req -x509 -new -key ks.pem >> ks.pem
Файл ks.pem укажите в качестве ключа.

Для того чтобы сервер работал только через https достаточно его включить и выключить http.

04/09/2007 18:25 xd:
Цитирую из описания: "Вы можете подключить к серверу OpenSSL или GNU TLS."
Я понимаю это так, что вместо seclib.dll можно подключить к серверу libeay.dll/ssleay.dll. Это не так?
Далее, правильно ли я понимаю, что shttp воспринимает ключи только тогда, когда и открытый, и закрытый ключ записаны в один файл?
В случае, когда открытый и закрытый ключи находились в разных файлах, shttp говорил что-то типа "OpenSSL error: lib=xx func=yyy reason=zzz * line=0"
Для чего служат настройки CA-file и CA-Path? При попытках указать в этих настройках соответственно сертификат СА и путь к СА, ругалось примерно так же.
04/09/2007 18:34 xd:
Ага, по поводу СА-file и СА-path, кажется, понял. shttp путает их при записи настроек в файл :-)
При указанном в настройках
CA-file="C:\shttps\seclib\SERVER.PEM" и
CA-path="C:\shttps\seclib\" обнаружил в файле конфигурации: tls_capath="C:\shttps\seclib\SERVER.PEM"
tls_cafile="C:\shttps\seclib\"
Однако вопрос остаётся - для чего предназначены эти настройки, что в них надо указывать?
05/09/2007 02:31 Max:
Не уверен, что libeay.dll, ssleay.dll подойдут DLLи должны выставить соответствующий интерфейс. OpenSSL или GNU TLS подключить можно, но для этого их нужно собрать с этим интерфейсом, как пример выложены исходники от seclib
Параметры CA-file и CA-Path передаются в OpenSSL. Если в этих параметрах указать данные из примеров к OpenSSL он не ругается.
Свой ключ и свой сертификат указывайте в соответствующих параметрах.



06/09/2007 05:31 xd:
Так, ясно.
Т.е. seclib.dll понимает только самоподписанные сертификаты? Любые попытки указать сертификат, подписанный СА, вызывают сообщения подобно приведённому мной выше - OpenSSL error бла-бла-бла, я просто сначала думал, что дело в файле с закр. ключом, поэтому так написал.
06/09/2007 23:27 Max:
Нет, разумеется не только самоподписанные. Но видимо ему надо указать где лежат подписывающие сертификаты и положить их...
Также он пользуется собственным файлом конфигурации. Посмотрите его.

Пользователь: Пароль: Новый пользователь:   Запомнить пароль: