Dlaczego niektóre komendy openssl korzystają z opcji -config, a inne nie?

1

Na przykład req ma, ale x509 nie.

Przeczytałem także o zmiennej środowiskowej OPENSSL_CONF. Czy w ogóle wpływa to na podkomendę x509?

BehemothTheCat
źródło

Odpowiedzi:

1

Pierwotnie plik konfiguracyjny był potrzebny i można go było wyraźnie określić wyłącznie dla reqi caze względu na stosunkowo skomplikowane parametry potrzebne do żądania certyfikatu i wydania. tsdodane w 1.0.0 zrobiło to samo, a srpdodane w 1.0.2 (ale nieudokumentowane) robi to bez żadnego oczywistego dla mnie powodu, może po prostu moda. x509pierwotnie chodziło o wyświetlanie danych, które w większości nie wymagają konfiguracji (patrz poniżej); z czasem dodano minimalne funkcje podobne do CA i (tylko) używają plików w formacie config dla rozszerzeń; jest to identyfikowane przez -extfilei musi być jawne .

Jednak od około 0.9.8 (dalej, niż mogę to wygodnie sprawdzić) pojawiła się koncepcja automatycznej konfiguracji dla komend wiersza poleceń, a także aplikacji korzystających z libcrypto, nawet tych, które nie mają elementów konfiguracji specyficznych dla operacji lub programów . Jest to opisane w podręczniku konfiguracji strony (5) w systemie Unixy z poprawnie zainstalowanym OpenSSL lub w Internecie i ma na to wpływ środowisko envvar OPENSSL_CONF.

Zaczęło się od konfigurowania niestandardowych OID która mogłaby mieć zastosowanie do x509, i ustawień silnika , które mogłyby jeśli użyć klucza sprzętowego (do znaku) lub kluczy GOST (w ogóle). Domyślny tryb FIPS (w aplikacjach nie zakodowanych dla niego) został dodany w połowie 1.0.1, a ustawienia (lub domyślne) dla SSL / TLS w 1.1.0.

dave_thompson_085
źródło