Подписать присланный REQUEST файл.

Колючий Ёж
Дата: 19.03.2011 22:24:44
Настраиваем взаимосвязь с системой платежей Cyberplat. На основе сертификатов.
Они нам прислали REQUEST файл, который мы должны подписать и выслать им назад.
С нашей стороны оракловский Apache с их хитрозапиленным ssl модулем, который использует оракловский wallet

Гугль задымился и пошел нервно курить в сторонке.

КАК подписать средствами оракла этот файл? Я там нашел только как сгенерировать этот самый реквест-файл (типа чтобы подписали где-то там), но мне его генерить не надо, мне надо его подписать!

Как подписать файл средствами OpenSSL (сгенерить Key, CA и все такое) - это все просто и понятно, но как это преобразовать в wallet формат? Попытка воспользоваться osslconvert:

../../bin/osslconvert -cert ../ssl/miass.crt -key ../ssl/ca.key -cafile ../ssl/ca.crt -ssowallet yes
Enter PEM pass phrase:
No certificate matches private key
FAILED


хотя подписывал так:
openssl x509 -req -days 100500 -in miass.req -CA ca.crt -CAkey ca.key -out miass.crt -set_serial 1

Что делать?
bsdelnik
Дата: 19.03.2011 23:27:23
Если вкратце, по шагам, то так:
1. через openssl создаешь корневой сертификат
2. создаешь пустой бумажник
3. добавляешь корневой сертификат в бумажник
4. в бумажнике создаешь запрос на сертификат, экспортируешь его в файл, подписываешь средствами openssl, импортируешь его в зад (в смысле в бумажник).
5. Настраиваешь оракляный апач на работу с созданным тобой бумажником.

ВСЕ! Бумажник больше не трогай! Тебе Киберплат пришлет req файл. Все, что тебе нужно сделать - через openssl создать сертификат и отправить им его. Профит.
Колючий Ёж
Дата: 20.03.2011 01:01:12
А ничего, что сертификат, отправленный киберплату, не будет в валлете?
bsdelnik
Дата: 20.03.2011 09:50:46
Пофигу абсолютно.
Колючий Ёж
Дата: 21.03.2011 01:15:11
Валлет создал. с автологином.
Вот только Apache ни в какую не хочет с ним работать...

[error] Server *.ru:443: can't open an encrypted wallet file:/opt/oraweb/OraHome_1/ohs/conf/ssl.wlt/miass when opmn is usingPlease enable it as SSO wallet

1. Что смущает: то что порт 443 (хотя в конфиге стоит 4458, а 443 даже поиском не нашел - ни одного упоминания)
2.
# ls -la
drwx------ 2 oraweb oraweb 4096 Мар 21 03:01 .
drwx------ 4 oraweb oraweb 4096 Мар 21 02:01 ..
-rw------- 1 oraweb oraweb 10533 Мар 21 03:01 cwallet.sso
-rw------- 1 oraweb oraweb 10456 Мар 21 03:01 ewallet.p12


На попытку нарисовать SSLWalletPassword в конфиге сам opmn начинает ругаться:

/opt/oraweb/OraHome_1/ohs/bin/apachectl startssl: execing httpd
Syntax error on line 71 of /opt/oraweb/OraHome_1/ohs/conf/ssl.conf:
Invalid command 'SSLWalletPassword', perhaps mis-spelled or defined by a module not included in the server configuration
bsdelnik
Дата: 21.03.2011 09:48:09
Сложно без конфигов что-то сказать...