<div dir="ltr">Jakob,<div>I don't really understand why the engine *needs* to do PSS. Neither of the badssl certificates seem to use it for signatures. (I'm assuming the fact that a cert was signed with RSA-PSS would show up in the Windows certificate viewer...) If you could give a short summary of the problem as you understand it, perhaps it would help me narrow in on a workaround. I'd be happy with even an ugly patch at this point. Given that server verification works fine with a ca-bundle file, I wonder whether it would be possible to have the capi engine handle only the client authentication. As you understand it, would the problem breaking server verification also preclude client authentication with the capi engine?</div><div><br></div><div>Thanks,</div><div>Brett S.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Oct 23, 2020 at 11:34 AM Jakob Bohm via openssl-users <<a href="mailto:openssl-users@openssl.org">openssl-users@openssl.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 2020-10-23 15:45, Matt Caswell wrote:<br>
><br>
> On 23/10/2020 14:10, Brett Stahlman wrote:<br>
>> It seems that the CAPI engine is breaking the server verification somehow.<br>
>> Note that the only reason I'm using the ca-bundle.crt is that I couldn't<br>
>> figure out how to get CAPI to load the Windows "ROOT" certificate<br>
>> store, which contains the requisite CA certs. Ideally, server<br>
>> authentication would use the CA certs in the Windows "ROOT" store, and<br>
>> client authentication would use the certs in the Windows "MY" store, but<br>
>> CAPI doesn't appear to be loading either one.<br>
> This is probably the following issue:<br>
><br>
> <a href="https://github.com/openssl/openssl/issues/8872" rel="noreferrer" target="_blank">https://github.com/openssl/openssl/issues/8872</a><br>
><br>
> Matt<br>
Looking at the brutal wontfixing of that bug, maybe reconsider if the<br>
existing engine interface can do PSS by simply having the CAPI/CAPIng<br>
engine export the generic PKEY type for PSS-capable RSA keys.  Also,<br>
maybe use a compatible stronger CAPI "provider" (their engines) to do<br>
stronger hashes etc.<br>
<br>
Enjoy<br>
<br>
Jakob<br>
-- <br>
Jakob Bohm, CIO, Partner, WiseMo A/S.  <a href="https://www.wisemo.com" rel="noreferrer" target="_blank">https://www.wisemo.com</a><br>
Transformervej 29, 2860 Søborg, Denmark.  Direct +45 31 13 16 10<br>
This public discussion message is non-binding and may contain errors.<br>
WiseMo - Remote Service Management for PCs, Phones and Embedded<br>
<br>
</blockquote></div>