From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00 autolearn=ham version=3.2.5 X-Virus-Scanned: Debian amavisd-new at cryptocom.ru Date: Thu, 7 May 2009 14:01:06 +0400 From: "Victor B. Wagner" To: devel@lists.altlinux.org Message-ID: <20090507100106.GD17754@cryptocom.ru> Mail-Followup-To: devel@lists.altlinux.org References: <20090507083836.GB7433@cryptocom.ru> <20090507092441.GE21721@ender.fondinvestrk.ru> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <20090507092441.GE21721@ender.fondinvestrk.ru> User-Agent: Mutt/1.5.13 (2006-08-11) Subject: Re: [devel] =?koi8-r?b?98/Q0s/T2SDOz9fJ3svB?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 07 May 2009 10:01:13 -0000 Archived-At: List-Archive: List-Post: On 2009.05.07 at 13:24:42 +0400, Afanasov Dmitry wrote: > > приложений которые я уже тестировал на работу с российской криптографией > > и точно знаю что нужно, чтобы оно работало. > понял. как будет готово, проверю на своих proftpd и pure-ftpd. Вот в эти я пока не лазил. Как правило, в большинстве случаев для поддержки приложением подгружаемых модулей с алгоритмами/реализациями необходимо и достаточно добавить перед вызовом SSL_library_init вызов OPENSSL_config(NULL). Эта функция считывает конфигурационный файл openssl.cnf и инициализирует описанные в нем подгружаемые модули. В man на эту функцию написано: It is strongly recommended that all new applications call OPENSSL_con- fig() or the more sophisticated functions such as CONF_modules_load() during initialization (that is before starting any threads). By doing this an application does not need to keep track of all configuration options and some new functionality can be supported automatically. Это так со времен OpenSSL 0.9.7. К сожалению, авторы приложений, в которые поддержка OpenSSL была добавлена во времена более ранних версий, при переходе на версию 0.9.7 и выше этот man, видимо, не читали. В свое время мне удалось пропихнуть это только в PostgreSQL. Вот он, начиная с 8.3 это делает. Правда, с выходом 8.4 и OpenSSL 1.0 наверное, опять придется его патчить на предмет поддержки сертификатов на всяких железных токенах (в клиентской библиотеке). Потому что до 1.0 в OpenSSL не было API для добывания клиентского сертификата через engine. А в PostgreSQL до 8.4 не было авторизации пользователей по клиентским сертификатам.