Це стара версія документу!
У системному журналі вузла WMS/LB періодично з'являється таке критичне повідомлення:
FATAL SECURITY - Failed to load GSI credential: edg_wll_gss_acquire_cred_gsi(): GSS Major Status: General failure( GSS Minor Status Error Chain: globus_gsi_gssapi: Unable to read credential for import OpenSSL Error: tasn_dec.c:749: in library: asn1 encoding routines, function ASN1_TEMPLATE_NOEXP_D2I: nested asn1 error Field=n, Type=RSA OpenSSL Error: tasn_dec.c:830: in library: asn1 encoding routines, function ASN1_D2I_EX_PRIMITIVE: nested asn1 error OpenSSL Error: tasn_dec.c:1306: in library: asn1 encoding routines, function ASN1_CHECK_TLEN: wrong tag ), exiting.
Закритий ключ сертифіката вузла (hostkey.pem
) записаний у непідтримуваному форматі PKCS#8.
На це вказуватиме перший рядок файла:
Перший рядок PEM-файла із закритим ключем | Формат |
---|---|
-----BEGIN PRIVATE KEY----- | PKCS#8 |
-----BEGIN RSA PRIVATE KEY----- | SSLeay |
Пакет OpenSSL версій нижче за 1.0.0 використовував власний формат SSLeay для зберігання закритого ключа RSA у PEM-кодуванні, що став де-факто стандартом. Його підтримку реалізовано у багатьох пакетах засобів шифрування, зокрема власне OpenSSL, GNUTLS, Mozilla NSS, Java™-бібліотека Bouncy Castle. Ці бібліотеки застосовуються у багатьох компонентах Middleware.
Починаючи з версії 1.0.0 у пакеті OpenSSL для зберігання закритого ключа за замовчуванням використовується формат PKCS#8, який є офіційним стандартом та більш універсальний за вмістом — підтримуються різні алгоритми шифрування, а не тільки RSA. Проблема полягає в тому, що більшість згаданих бібліотек, а особливо їх старі версії, не підтримують PKCS#8.
Перетворення форматів SSLeay у PKCS#8 та навпаки для закритого ключа RSA є однозначним та оборотним.
— Євген Слюсар 2012/04/08 19:54