Например, req делает, а x509 нет.
Также я читал о переменной среды OPENSSL_CONF. Влияет ли это на подкоманду x509?
1
1 ответ
1
Первоначально файл конфигурации был нужен только для явного указания для req и ca из-за относительно сложных параметров, необходимых для запроса и выдачи сертификата. ts добавленный в 1.0.0, сделал то же самое, а srp добавленный в 1.0.2 (но без документов), делает это безо всякой очевидной для меня причины, может быть, просто из моды. Первоначально x509 отображения данных, которые в основном не нуждаются в настройке (см. ниже); некоторые минимальные CA-подобные функции были добавлены с течением времени, и (только) они используют файл в формате конфигурации для расширений; это идентифицируется с помощью -extfile и должно быть явным.
Тем не менее, начиная с 0.9.8 (дальше, чем я могу удобно проверить), была концепция автоматической настройки подкоманд командной строки, а также приложений, использующих libcrypto, даже тех, которые не имеют специфичных для операции или программных элементов конфигурации , Это описано в справочной странице config (5) в вашей системе Unixy с правильно установленным OpenSSL или в Интернете, и на нее влияет envvar OPENSSL_CONF .
Все началось с настройки пользовательских идентификаторов OID, которые вполне могут применяться к x509 , и параметров ENGINE, которые могут использоваться, если вы используете аппаратный ключ (для подписи) или ключи ГОСТ (вообще). По умолчанию режим FIPS (в приложениях, не закодированных для него) был добавлен в середине 1.0.1, а также настройки (или значения по умолчанию) для SSL/TLS в 1.1.0.