From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vitus@altlinux.org>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00 autolearn=ham
	version=3.2.5
X-Virus-Scanned: Debian amavisd-new at cryptocom.ru
Date: Thu, 7 May 2009 14:01:06 +0400
From: "Victor B. Wagner" <vitus@altlinux.org>
To: devel@lists.altlinux.org
Message-ID: <20090507100106.GD17754@cryptocom.ru>
Mail-Followup-To: devel@lists.altlinux.org
References: <20090507083836.GB7433@cryptocom.ru>
	<20090507092441.GE21721@ender.fondinvestrk.ru>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <20090507092441.GE21721@ender.fondinvestrk.ru>
User-Agent: Mutt/1.5.13 (2006-08-11)
Subject: Re: [devel] =?koi8-r?b?98/Q0s/T2SDOz9fJ3svB?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Thu, 07 May 2009 10:01:13 -0000
Archived-At: <http://lore.altlinux.org/devel/20090507100106.GD17754@cryptocom.ru/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On 2009.05.07 at 13:24:42 +0400, Afanasov Dmitry wrote:
> > приложений которые я уже тестировал на работу с российской криптографией
> > и точно знаю что нужно, чтобы оно работало.
> понял. как будет готово, проверю на своих proftpd и pure-ftpd.

Вот в эти я пока не лазил. Как правило, в большинстве случаев для
поддержки приложением подгружаемых модулей с алгоритмами/реализациями
необходимо и достаточно добавить перед вызовом SSL_library_init
вызов OPENSSL_config(NULL).
Эта функция считывает конфигурационный файл openssl.cnf и инициализирует
описанные в нем подгружаемые модули.


В man на эту функцию написано:

       It is strongly recommended that all new applications call OPENSSL_con-
       fig() or the more sophisticated functions such as CONF_modules_load()
       during initialization (that is before starting any threads). By doing
       this an application does not need to keep track of all configuration
       options and some new functionality can be supported automatically.


Это так со времен OpenSSL 0.9.7.

К сожалению, авторы приложений, в которые поддержка OpenSSL была добавлена
во времена более ранних версий, при переходе на версию 0.9.7 и выше этот man, 
видимо, не читали. 

В свое время мне удалось пропихнуть это только в PostgreSQL.
Вот он, начиная с 8.3 это делает. Правда, с выходом 8.4 и OpenSSL 1.0 наверное, опять придется его патчить на предмет поддержки сертификатов на всяких железных токенах (в клиентской библиотеке). Потому что до 1.0 в OpenSSL не было API
для добывания клиентского сертификата через engine. А в PostgreSQL до 8.4
не было авторизации пользователей по клиентским сертификатам.