openssl разморозка

Они что идиоты ?

Да. Я когда программировал бэкенд по генерации сертификатов проклял всё на свете. Там было вплоть до того что некоторые функции были доступны только у консольной программы openssl, но не через libssl. Вернее, libssl давал то что однозначно распарсить было нельзя. Консольная же программа дёргала низкоуровневые вещи из ssl, дублируя часть функционала libssl.

Каждый день работаю с openssl ,но нифига не понял что случилось, можешь объяснить для тёмных?

2 года назад скрипт работал и в csr строки-атрибуты формировались типа PRINTABLESTRING. После нескольких обновлений где-то изменился дефолтный string_mask и в csr строки стали с типом UTF8STRING. Строки у которого полиси «match» после этого перестали сравниваться с охренительно понятной дигностикой

Check that the request matches the signature
Signature ok
The stateOrProvinceName field needed to be the same in the
CA certificate (Euro) and the request (Euro)
sign failed

Человек удивляется, что UTF-8 не помещается в ASCII.

http://www.obj-sys.com/asn1tutorial/node128.html

Чем строка 'Euro' в ASCII отличается от 'Euro' в utf-8 ?

В какую секцию openssl.cnf нужно вписать «string_mask=nombstr» чтоб вернуть дефолт назад ? Не хочу прописывать это в [req] каждого клиентского .cnf

Очевидно, что типом. Влипи его в [req] системного конфига. Но это, так пальцем в небо. С кандочка я тебе тоже не скажу. OpenSSL — это та ещё муть.

С другой стороны, почему бы и не в клиентский? default_md = sha256 ты ведь тоже с собой таскаешь?

в [req] системного пробовал - не помогло :(

не таскаю. Это сертификаты для wifi.

Есть конечно тупое решение - пересоздать CA, но пока не хочечется.