Документ взят из кэша поисковой машины. Адрес
оригинального документа
: http://theory.sinp.msu.ru/pipermail/ru-ngi/2014q3/001377.html
Дата изменения: Tue Jul 1 08:04:16 2014 Дата индексирования: Sun Apr 10 17:59:06 2016 Кодировка: |
Добрый день еще раз. Нет, не так. На сайте МИФИ команда выдает sha1WithRSAEncryption для всех хэш файлов - как для тех, которые обновляются, так и для "плохих", на которые ругается fetch-crl. При этом для некоторых "плохих" СА файла <hash>.r0 просто не существует, а есть только <hash>.0, который есть линк на соответствующий .pem А вот на сайте ФИАН тоже выдается sha1WithRSAEncryption для большинства хэш файлов, но sha256WithRSAEncryption или sha512WithRSAEncryption - как раз для тех СА, на которые ругается fetch-crl в МИФИ. Всего наилучшего, В.Тихомиров. 30 июня 2014 г., 14:26 пользователь Eygene Ryabinkin <rea at grid.kiae.ru> написал: > Mon, Jun 30, 2014 at 01:25:17PM +0400, Vladimir Tikhomirov wrote: > > openssl разные: сервер МИФИ застрял в SLC4, там openssl-0.9.7a-43.20.el4 > > Понятно. Есть мнение, что все ваши CRL, которые не видит сайт на > SLC4, выданы CA, которые используют SHA256 в качестве алгоритма > хеширования. Если вам не сложно, для всех CRL, которые плохие > на вашем сайте с SLC4, сделайте > {{{ > openssl crl -in <HASH>.r0 -noout -text | grep 'Signature Algorithm' | awk > '{print $3;}' | sort -u > }}} > если я прав, то ничего кроме sha256WithRSAEncryption выводиться > не должно. > -- > Eygene Ryabinkin, National Research Centre "Kurchatov Institute" > > Always code as if the guy who ends up maintaining your code will be > a violent psychopath who knows where you live. > -------------- next part -------------- An HTML attachment was scrubbed... URL: <http://theory.sinp.msu.ru/pipermail/ru-ngi/attachments/20140701/e1169156/attachment.html>