Коллеги, помогите!
Был openssl 1.0.2r с поддержкой госта 2001.
Утилиткой P12FromGostCSP подпись сохраняли в котейнер p12.pfx.
В этом году новая подпись, купили P12FromGostCSP, сохранили в p12.pfx. Но - openssl 1.0.2 конвертить это в .pem не хочет:
Error outputting keys and certificates
140615572178584:error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm:p_lib.c:239:
140615572178584:error:0606F076:digital envelope routines:EVP_PKCS82PKEY:unsupported private key algorithm:evp_pkey.c:84:TYPE=1.2.643.7.1.1.1.1
Ок, стави новый openssl , 1.1.1, откуда, как известно, нынче выпилен гост. Хорошие люди сделали поддержку госта к текущей версии:
https://github.com/gost-engine/engine
С этим engine (вернее библиотекой gost.so, которую он делает) openssl 1.1.1 поддерживает гост2012.
Однако есть проблема: новый openssl 1.1.1 не понимает паролей в контейнере p12.pfx! Какой бы пароль не был установлен при экспорте программой P12FromGostCSP (простой пароль, сложный, пустой) - пишет
Mac verify error: invalid password?
причём, если "старый" openssl 1.0.2 писал MAC Verify ok и для прошлогоднего контейнера p12, и для нового p12 (ругаясь на алгоритм), то "новый" openssl не может конвертнуть ни старый, ни новый p12, пароль якобы не тот.
Куда смотреть?..