В общем, что-то я запутался совсем в openssl.
На данный момент надо решить задачку следующего рода:
1. Имеем хранилище сертификатов, имеющее кэш в базе c поиском по subject-serial-enddate - тут всё работает уже давно, всё ок.
2. Имеем источник данных. Данные подписываются detached sign (отцепленной подписью). Подпись в PEM, но в общем-то перегнать ее не проблема.
3. Сообщения, от которого отдетачена подпись - в общем случае нет.

Задачка сводится к следующему: надо отковырнуть из подписи subject-serial-enddate для сравнения с наличием онных в кэше.
В принципе, почти решается через asn1parse, но в там выделение идёт на уровне блоков и выделить однозначно из этой помойки enddate с ходу непонятно как.

Собственно, вопрос: из sig (detached!) как-то можно выделить публичную часть x509, чтоб там нормально атрибуты сертификата уже разобрать?

Ищется решение через shell-запуск openssl. Нутром чую, что решается простой командой, но чот в доках никак не найду.