https://www.opennet.me/openforum/vsluhforumID1/97874.html Добрый день!<br>Подключаемся к стороннему сервису по https. Нам владельцы сервиса https дали сертификат для взаимодействия, в формате cer. Перевел в формат pem успешно.<br>На моей стороне oracle linux . попробовал добавить сертификаты вот так:<br>--<br>update-ca-trust force-enable<br>cp /home/myhome/Keys/cert.pem /etc/pki/ca-trust/source/anchors<br>update-ca-trust extract<br>--<br><br>Потом взял думаю проверю :<br><br>NONPROD [root@xxxx]# openssl verify -show_chain cert.pem<br>C = KZ, ST = Чето, L =Чето, O = SomeOrg JSC, OU = Development, CN = *.xxx.com<br>error 20 at 0 depth lookup: unable to get local issuer certificate<br>error cert.pem: verification failed<br><br>Проверка curl <br>NONPROD [root@xxxxT]# curl --cacert /home/myhome/Keys/cert.pem /home/ -v --connect-timeout 5 https://verylongname.com/ws/ptp_dbz.wsdl<br>* Trying 1.1.1.1<br>* TCP_NODELAY set<br>* Connected verylongname.com (1.1.1.1) port 443 (#0)<br>* ALPN, offering h2<br>* ALPN, offering http/1.1<br>* successfully set certificate verify locations:<br>* CAfile: /home/myhome/Keys/cert.pe https://www.opennet.me/openforum/vsluhforumID1/97874.html#21 Wed, 27 Jul 2022 11:40:49 GMT процедура ведь:<br>1. создать ключ приватный и публичный<br>2. создать запрос используя ключ, чтоб CA дал подписанный клиентский сертификат<br>3. дальше CA на основании запроса формирует клиентский подписанный сертификат. <br><br>И как бы CA приватный ключ не знает, и в клиентском сертификате его нет, но для авторизации он нужен.<br><br>не занаю как для curl, но для браузеров надо объединить сертификат и приватный ключ в один файлик p12 и тогда уже добавлять, для curl скорей всего еще один параметр нужен какой-то :)<br> https://www.opennet.me/openforum/vsluhforumID1/97874.html#20 Wed, 27 Jul 2022 11:28:12 GMT &gt;[оверквотинг удален]<br>&gt; ==== <br>&gt; Файл Pem начинается с: <br>&gt; -----BEGIN ----- <br>&gt; Кодированные блоки данных Base64 <br>&gt; -----END ----- <br>&gt; Данные кодируются с помощью base64 между этими тегами.<br>&gt; Файл pem состоит из нескольких блоков.<br>&gt; Назначение каждого блока или файла pem объясняется в заголовке, который сообщает вам, <br>&gt; как используется данный блок.<br>&gt; ==== <br><br>ты прав глупостей понаписал некоторых :) но для "TLS Web Client Authentication" кроме самого сертификата в котором есть публичный ключ, нужен еще и приватный ключ. Я генерю это все через easyrsa3, и для браузеров пакую в p12 сертификат и ключ и савлю на клаинтах.<br><br>у ТС какая-то такая же проболема, чтоб авторизоваться по https одного сертификата мало, надо еще и приватный ключ как то указывать<br> https://www.opennet.me/openforum/vsluhforumID1/97874.html#19 Tue, 26 Jul 2022 19:00:48 GMT <br>&gt; а pem это просто один ключ <br><br>это формат такой. там может быть сколько угодно чего угодно...<br><br>====<br>Файл Pem начинается с:<br>-----BEGIN -----<br>Кодированные блоки данных Base64<br>-----END -----<br>Данные кодируются с помощью base64 между этими тегами.<br>Файл pem состоит из нескольких блоков.<br>Назначение каждого блока или файла pem объясняется в заголовке, который сообщает вам, как используется данный блок.<br>====<br><br> https://www.opennet.me/openforum/vsluhforumID1/97874.html#18 Tue, 26 Jul 2022 12:05:18 GMT в cer может быть насколько сертификатов и ключей, для https авторизация по ключу у тебя в системе должен быть сертификат CA и твой подписанный этим CA сертификат. Все это могли и одним cer файлом предать.<br><br>а pem это просто один ключ<br> https://www.opennet.me/openforum/vsluhforumID1/97874.html#17 Tue, 26 Jul 2022 11:54:08 GMT &gt; Добрый день!<br>&gt; Подключаемся к стороннему сервису по https. Нам владельцы сервиса https дали сертификат <br>&gt; для взаимодействия, в формате cer. Перевел в формат pem успешно.<br><br>в этом ошибка в cer оба ключа и приватный и публичный, в pem ты получил что-то одно.<br>конвертируй в p12<br> https://www.opennet.me/openforum/vsluhforumID1/97874.html#16 Thu, 21 Jul 2022 10:31:09 GMT права файлов проверьте, логи<br> https://www.opennet.me/openforum/vsluhforumID1/97874.html#15 Wed, 20 Jul 2022 10:44:13 GMT Слов было много. Тебе дали не ca сертификат, найди от него ca и добавь в файл a trust сертификатами<br> https://www.opennet.me/openforum/vsluhforumID1/97874.html#14 Tue, 19 Jul 2022 00:03:25 GMT &gt;update-ca-trust<br>&gt;curl --cacert<br><br>А ему выдали сертификат<br>X509v3 Extended Key Usage:<br>TLS Web Server Authentication, TLS Web Client Authentication<br><br>Если софтина не умеет авторизоваться сертификатом (curl и Firefox умеют), то самый простой вариант, как уже сказали, stunnel. Но для начала - в школу, за учебники. Надо как минимум понимать разницу между СА и клиентским сертификатом<br> https://www.opennet.me/openforum/vsluhforumID1/97874.html#13 Mon, 18 Jul 2022 07:42:37 GMT &gt;&gt; Нужно только для curl? Опции --cert и --key: <br>&gt;&gt; https://everything.curl.dev/usingcurl/tls/clientcert <br>&gt; К сожалению не только для curl.<br>&gt; Еще есть приклад который прекрасно работает по http, но никак не может <br>&gt; работать по https <br><br> Вы посмотрите повнимательнее, что вам выдали, простым блокнотом к примеру, там могут лежать, как клиентский сертификат, так и ключ к нему, так и сертификат центра сертификации, который все это выдал... <br><br>