Тут показані розбіжності між вибраною ревізією та поточною версією сторінки.
tech:kb0002 [2012/04/08 16:59] Євген Слюсар створено |
tech:kb0002 [2012/04/08 21:39] (поточний) |
||
---|---|---|---|
Рядок 3: | Рядок 3: | ||
У системному журналі вузла WMS/LB періодично з'являється таке критичне повідомлення: | У системному журналі вузла WMS/LB періодично з'являється таке критичне повідомлення: | ||
<code> | <code> | ||
- | FATAL SECURITY - Failed to load GSI credential: edg_wll_gss_acquire_cred_gsi(): GSS Major Status: General failure( | + | FATAL SECURITY - Failed to load GSI credential: |
+ | edg_wll_gss_acquire_cred_gsi(): GSS Major Status: General failure( | ||
GSS Minor Status Error Chain: globus_gsi_gssapi: Unable to read credential for import | GSS Minor Status Error Chain: globus_gsi_gssapi: Unable to read credential for import | ||
OpenSSL Error: tasn_dec.c:749: in library: asn1 encoding routines, | OpenSSL Error: tasn_dec.c:749: in library: asn1 encoding routines, | ||
Рядок 11: | Рядок 12: | ||
), exiting. | ), exiting. | ||
</code> | </code> | ||
+ | |||
+ | ===== Застосовність ===== | ||
+ | Проблема проявляється як у Java-сервісах, так і у C-сервісах. | ||
+ | |||
+ | Підтверджено її наявність у релізах EMI-1: WMS, LB, CREAM, dCache. | ||
+ | |||
+ | У dCache її нещодавно виправили: [[http://scm.dcache.org/WebSVN/comp.php?repname=dCache&compare[]=%2F@16697&compare[]=%2F@16698|SVN-diff]] | ||
+ | |||
===== Причина ===== | ===== Причина ===== | ||
+ | Закритий ключ сертифіката вузла (''hostkey.pem'') записаний у непідтримуваному форматі PKCS#8. | ||
+ | На це вказуватиме перший рядок файла: | ||
+ | ^ Заголовок блоку PEM-файла ^ Формат ^ Рішення ^ | ||
+ | | ''%%-----BEGIN PRIVATE KEY-----%%'' | PKCS#8 | наш випадок :-) | | ||
+ | | ''%%-----BEGIN RSA PRIVATE KEY-----%%'' | SSLeay | проблема у чомусь іншому | | ||
+ | |||
+ | ===== Пояснення ===== | ||
+ | Пакет OpenSSL версій нижче за 1.0.0 використовував власний формат [[http://www.openssl.org/docs/crypto/pem.html#PEM_ENCRYPTION_FORMAT|SSLeay]] для зберігання закритого ключа RSA у PEM-кодуванні, що став де-факто стандартом. | ||
+ | Його підтримку реалізовано у багатьох пакетах засобів шифрування, зокрема власне [[http://www.openssl.org|OpenSSL]], [[http://www.gnu.org/software/gnutls/|GNUTLS]], [[http://www.mozilla.org/projects/security/pki/nss/|Mozilla NSS]], Java(tm)-бібліотека [[http://www.bouncycastle.org|Bouncy Castle]]. | ||
+ | Ці бібліотеки застосовуються у багатьох компонентах Middleware. | ||
+ | |||
+ | Починаючи з версії 1.0.0 у пакеті OpenSSL для зберігання закритого ключа за замовчуванням використовується формат [[http://www.rsa.com/rsalabs/node.asp?id=2130|PKCS#8]], який є офіційним стандартом та більш універсальний за вмістом --- підтримуються різні алгоритми шифрування, а не тільки RSA. | ||
+ | Проблема полягає в тому, що більшість згаданих бібліотек, а особливо їх старі версії, не підтримують PKCS#8. | ||
===== Вирішення ===== | ===== Вирішення ===== | ||
+ | Перетворення форматів SSLeay у PKCS#8 та навпаки для закритого ключа RSA є однозначним та оборотним. | ||
+ | Щоб перетворити PKCS#8 у SSLeay, можна скористатись такою командою: | ||
+ | <code>openssl rsa -in pkcs8.pem -out ssleay.pem</code> | ||
+ | де ''pkcs8.pem'' --- вхідний файл у форматі PKCS#8, а ''ssleay.pem'' --- результат у форматі SSLeay. | ||
+ | |||
+ | **УВАГА!** Після перетворення формату закритого ключа обов'язково перевіряйте права доступу на відповідні файли. | ||
- | --- //[[people:slu|Євген Слюсар]] 2012/04/08 19:54// | + | --- //[[people:slu|Євген Слюсар]] 2012/04/09 00:28// |