OpenSSL

Question

[teplenev]

Всем добрый вечер!

Функция openssl_pkcs7_sign(), описанная в www.php.net/manual/en/function.openssl-pkcs7-sign.php, что воспринимает в качестве параметров?

Точнее я про сертификат и приватный ключ спрашиваю (третий и четвертый параметр).

В качестве сертификата принимается .crt файл?

Если я получил из .crt файла, выданного Entrast-ом, .pem файл с помощью openssl, то могу ли я этот .pem файл скормить этой функции в качестве приватного ключа? Или нет? И что я тогда должен указывать в качестве фразы-пароля? Пароль, который я указывал, регистрируя сертификат?

Answer 1

[charon]

по идее в качестве сертификата принимается и crt, и pem файл.
Что касается приватного ключа, то тут есть 2 варианта:
1) если вы сами генерировали запрос на сертификат, который отсылали в Entrast, тот потом его подписывал и возвращал — в этом случае приватный ключ был создан вами при формировании запроса вместе с запросом на сертификат (запрос отослали Entrast, а ключ не отсылали);
2) если вы не формировали запрос, а сразу запросили сертификат, то теоретически Entrast должен прислать вам 2 файла: приватный ключ отдельно, а сертификат — отдельно. Хотя приватный ключ можно встроить в сертификат.

Попробуйте просто открыть crt-файл от Entrast и поискать там строки
-----BEGIN RSA PRIVATE KEY-----
.....
-----END RSA PRIVATE KEY-----
Если они там есть, то это и есть ваш приватный ключ.
Функция openssl_pkcs7_sign() ожидает приватный ключ отдельно, так что скормить ей pem-файл нельзя.
Фраза-пароль — да, это та, которую указывали при запросе сертификата. Но для теста можете попробовать передать пустую строку в этот аргумент.

Comments

[charon]

crt и pem-файлы — это обычные текстовые файлы и их можно смело открывать Блокнотом

[teplenev]

Нифига


Ещё я попробовал:

certutil -repairstore C:\cert.crt -privatekey

Получил:

C:\Windows\system32>certutil -repairstore C:\cert.crt -privatekey
C:\cert.crt
CertUtil: -repairstore команда НЕ ВЫПОЛНЕНА: 0x80070035 (WIN32: 53)
CertUtil: Не найден сетевой путь.

[charon]

да, я был неправ, сертификат не всегда является обычным текстовым файлом. Ну хорошо, тогда вопросы:
1) какой именно сертификат вы получили у Entrust? Клиентский, серверный или еще какой-то? Вы уверены, что он годится для подписывания электронной почты?
2) у вас есть доступ к утилите openssl? Под виндоус её тоже можно установить.

Сертификаты кодируют несколькими разными способами: crt, pem и виндовый pkcs12 (последний нечитаем и защищён паролем). Чтобы получить обычный pem-файл с сертификатом и приватным ключом в текстовом виде нужно использовать команду
openssl pkcs12 -in cert.crt -out full_cert.pem -nodes
Чтобы получить третий параметр вашей функции (сертификат без приватного ключа) используется команда
openssl pkcs12 -in cert.crt -clcerts -out just_cert.pem
Нетрудно заметить, что
full_cert.pem = just_cert.pem + <секция с приватным ключом>
Просто скопируйте строки ключа из full_cert.pem и вставьте в отдельный файл — и это будет четвёртым параметром вашей функции.

А через виндовые прибамбасы я не знаю как сделать. Там можно пойти другим путём — через mmc импортировать сертификат в локальное хранилище и оттуда с помощью мастеров извлечь отдельно ключ и всё остальное.