Próbuję sprawdzić / zweryfikować, czy przechowywany tutaj klucz rsa, pakiet ca i certyfikat są prawidłowe. Nie są obsługiwane przez serwer WWW. Jak mogę je zweryfikować?
Próbuję sprawdzić / zweryfikować, czy przechowywany tutaj klucz rsa, pakiet ca i certyfikat są prawidłowe. Nie są obsługiwane przez serwer WWW. Jak mogę je zweryfikować?
Odpowiedzi:
Zakładając, że twoje certyfikaty są w formacie PEM, możesz:
openssl verify cert.pem
Jeśli Twój „pakiet” jest plikiem zawierającym dodatkowe certyfikaty pośrednie w formacie PEM:
openssl verify -untrusted ca-bundle cert.pem
Jeśli Twój openssl nie jest skonfigurowany do automatycznego korzystania z zainstalowanego zestawu certyfikatów głównych (np. W /etc/ssl/certs
), możesz użyć -CApath
lub -CAfile
określić urząd certyfikacji.
-CApath nosuchdir
kombinacja server.crt i cacert.pem musi zawierać główny urząd certyfikacji; jeśli openssl może pracować tylko z pośrednim urzędem certyfikacji z tymi plikami, będzie narzekać.
/certs/
. czy to spowoduje problem? ponieważ jestem na sobie w sytuacji, gdy mój serwer działa, curl http działa, ale https .. curl dostaje błąd. gdzie strona przestała działać.
Oto jedna linijka do weryfikacji łańcucha certyfikatów:
openssl verify -verbose -x509_strict -CAfile ca.pem -CApath nosuchdir cert_chain.pem
Nie wymaga to instalacji CA w dowolnym miejscu.
Szczegółowe informacje można znaleźć na stronie https://stackoverflow.com/questions/20409534/how-does-an-ssl-certificate-chain-bundle-work .
-CApath nosuchdir
to, aby odpowiedzieć. Dziękuję Ci.
-CAfile
sam jest tylko certyfikatem pośrednim, openssl będzie narzekać. Jest to prawidłowe zachowanie, ponieważ verify
wymaga pełnego łańcucha aż do głównego urzędu certyfikacji, ale może wprowadzać w błąd.
OpenSSL 1.1.1 11 Sep 2018
) wymaga, aby argument -CApath
był istniejącym katalogiem.
openssl x509
instrukcję obsługi.