[1123032]Да, извлечение cert FROM из pkcs7 с помощью -print_certs корректно, и если вы хотите доверять корню получателя, используйте cacert.org, а не cert из pkcs7.[12158]Некоторые пояснения/заметки:[12159]Дополнительные строки перед блоком cert не являются проблемой. openssl разрешает "комментировать" текст в файлах PEM.
до строки '-----BEGIN' (и после '-----END'), хотя это и нестандартно.
и [1123531]другие [1123532] программы часто не работают.[12160]Сообщение об ошибке 'TRUSTED CERTIFICATE' несколько вводит в заблуждение. openssl фактически
допускает два варианта в файле сертификата PEM: '[X.509] CERTIFICATE' и 'TRUSTED CERTIFICATE'.
Первый является стандартным, второй используется только в openssl, а затем только в редких случаях.
openssl ищет их в этом порядке, так что если он не найдет ни того, ни другого, то сообщение об ошибке будет выглядеть так: "openssl ищет их в этом порядке".
ТРАСТЕД не найден. Этот формат допускает определенные атрибуты доверия в файле cert, а именно
отличается от наличия сертификата в директории (или файле) доверительного хранилища openssl.[12161]openssl sime -encrypt[1123534] НЕ проверяет, проверяет ли сертификат получателя на наличие в доверительном хранилище, хотя, возможно, это и должно быть так.
Если есть вероятность, что полученный вами p7s/cert был подделан или подделан,
вы должны вручную [1123535]openssl проверить [1123536] cert перед его использованием, потому что, если этот сертификат на самом деле
есть ключ плохого парня вместо ключа хорошего парня, ваши данные могут быть расшифрованы плохим парнем. [1123041]
27.01.2020, 20:52
Ссылка