[devel] I: TLS/SSL policy - broken packages

[Mikhail Yakshin]

Konstantin A. Lepikhov wrote:
> Hi Mikhail!
> 
> Saturday 10, at 12:36:32 PM you wrote:
> 
>> Надо проверять. Проверять S/MIME нам сейчас, я так понимаю, не на чем.
>> Нужно хотя бы 1-2 именных сертификата выписать от ALT CA с этими проверками.
>>
>> 2ldv: можно попробовать это проверить? Я так понимаю, шаги следующие:
>>
>> 1. Выписать сертификат на человека с возможностью S/MIME (cert.pem)
>> 2. Создать файл с сообщением message.txt
>> 3. openssl smime -sign -in message.txt -out message-signed.txt cert.pem
>> 4. openssl smime -verify -in message-signed.txt
>>
>>> 2lakostis: Кость, ты вроде пользуешься S/MIME в mutt?
>>> Прокомментируй пожалуйста?
>> Было бы неплохо, да :) Присоединяюсь к просьбе.
> Проверяю :) Письмо подписано сертификатом, CA которого есть в
> общестистемном ca-bundle

И в том, и в другом случае - никак. Что я делаю не так?

Для полного текста письма:

$ openssl smime -verify -in message.signed
Error reading S/MIME message
10965:error:2107A083:PKCS7 routines:SMIME_read_PKCS7:invalid mime
type:pk7_mime.c:364:type: multipart/mixed

То есть даже прочитать не может внешнюю MIME-оболочку.

Если отрезать multipart и оставить только 2 части - письмо и подпись:

$ openssl smime -verify -in message2.signed
Verification failure
10944:error:21075075:PKCS7 routines:PKCS7_verify:certificate verify
error:pk7_smime.c:233:Verify error:unable to get local issuer certificate

$ openssl smime -verify -CAfile /usr/share/ca-certificates/ca-bundle.crt
-in message2.signed
Verification failure
10955:error:21075075:PKCS7 routines:PKCS7_verify:certificate verify
error:pk7_smime.c:233:Verify error:unable to get local issuer certificate

И в том, и в другом случае - проверить не получается.

-- 
WBR, Mikhail Yakshin AKA GreyCat
ALT Linux [http://www.altlinux.ru] [xmpp:greycat на altlinux.org]