Тонкая настройка параметров OpenSSL

Question

[1010101001000100110100111]

Библиотека OpenSSL держит все настройки по-умолчанию в файле openssl.cnf
Там туева хуча всяких параметров, многие из которых совсем необязательные.
Пробовал комментировать большую часть из них — все прекрасно работало.
Но, все (генерация ключей, подписание сертификатов) переставало работать,
после того, как я целиком удалял этот файл из папки библиотеки OpenSSL.
Кое-что (например, генерация ключей) вновь начинало работать, после того, как
я создавал пустой файл openssl.cnf с каким-нибудь тривиальным содержимым.
Добрые люди подсказали, как же все-таки можно обойтись без этого файла вообще:

<?php
$config["config"] = "nul"; // "openssl.cnf";
$config["private_key_bits"] = 384; // 1024;
$config["private_key_type"] = OPENSSL_KEYTYPE_RSA;
$config["encrypt_key"] = false;
$config["digest_alg"] = "default"; // "sha1";

$privkey = openssl_pkey_new($config);

// То есть, нужно просто задать для параметра config значение «nul».
// Но, дальнейшие мои самостоятельные шаги не привели к успеху:

$dn["countryName"] = "RU";
$dn["stateOrProvinceName"] = "Vladimirskaya";
$dn["localityName"] = "Vladimir";
$dn["organizationName"] = "Habrahabr";
$dn["organizationalUnitName"] = "Habr";
$dn["commonName"] = "1010101001000100110100111";
$dn["emailAddress"] = "1010101001000100110100111@habrahabr.ru";

$csr = openssl_csr_new($dn, $privkey, $config);
var_dump($csr);

На выходе получалось:

bool(false)

Чего же еще не хватает для полного счастья?
То есть, еакие конфиги еще необходимо задать?

Comments

[1010101001000100110100111]

К сожалению получилось лишь только с файлом-заглушкой _penssl.cnf с таким вот «тупым» содержимым:

[ req ]
distinguished_name = qqq
[ qqq ]

В итоге, я решил создавать его на-лету и удалять по завершении работы:

<?php
dl("php_openssl.dll");
$config["config"] = "_penssl.cnf";
$config["private_key_bits"] = 384; // 1024;

file_put_contents($config["config"], "[ req ]\r\n"
 ."distinguished_name = qqq\r\n[ qqq ]\r\n");

$privkey = openssl_pkey_new($config);
var_dump($privkey);

$dn["countryName"] = "RU";

$csr = openssl_csr_new($dn, $privkey, $config);
var_dump($csr);
$sscert = openssl_csr_sign($csr, null, $privkey, 365, $config);
var_dump($sscert);

unlink($config["config"]);

На выходе получаем:

resource(6) of type (OpenSSL key)
resource(7) of type (OpenSSL X.509 CSR)
resource(8) of type (OpenSSL X.509)

Answer 1

[kolobob]

Вообще говоря, поддержка OpenSSL в PHP реализована коряво. Вместо того, чтобы обернуть стандартные функции OpenSSL, они стали изобретать велосипед, прибивая костыли гвоздями. В итоге эта поддержка получилась сырой, и едва ли когда-нибудь станет нормальной.

Все это дополняется частично ошибочной/устаревшей документацией по этим php'шным функциям. Я бы рекомендовал отказаться от этой гиблой затеи и написать на чем-то более кошерном. Если все же хочется на php, рекомендую смотреть в исходники PHP, вместо мануалов — они достоверней.