Tôi đang cố xác thực / xác minh rằng khóa rsa, gói ca và chứng chỉ được lưu trữ ở đây là ổn. Họ không được phục vụ bởi một máy chủ web. Làm thế nào tôi có thể xác minh chúng?
Câu trả lời:
Giả sử chứng chỉ của bạn ở định dạng PEM, bạn có thể làm:
openssl verify cert.pem
Nếu "gói ca" của bạn là một tệp chứa các chứng chỉ trung gian bổ sung ở định dạng PEM:
openssl verify -untrusted ca-bundle cert.pem
Nếu openssl của bạn không được thiết lập để tự động sử dụng một bộ chứng chỉ gốc đã cài đặt (ví dụ: trong /etc/ssl/certs), thì bạn có thể sử dụng -CApathhoặc -CAfilechỉ định CA.
-CApath nosuchdirthì sự kết hợp của server.crt và cacert.pem phải bao gồm CA gốc; nếu openssl chỉ có thể hoạt động với một CA trung gian với các tệp đó thì nó sẽ khiếu nại.
/certs/. điều này sẽ gây ra vấn đề? bởi vì tôi xếp chồng lên nhau trong tình huống máy chủ của tôi hoạt động, http curl hoạt động, nhưng https .. curl bị lỗi. nơi trang web ngừng hoạt động.
Đây là một lớp lót để xác minh chuỗi chứng chỉ:
openssl verify -verbose -x509_strict -CAfile ca.pem -CApath nosuchdir cert_chain.pem
Điều này không cần phải cài đặt CA ở bất cứ đâu.
Xem https://stackoverflow.com/questions/20409534/how-does-an-ssl-certert-chain-bundle-work để biết chi tiết.
-CApath nosuchdirđiều này để trả lời. Cảm ơn bạn.
-CAfilechỉ là chứng chỉ trung gian, thì openssl sẽ khiếu nại. Đây là hành vi đúng, vì verifyyêu cầu một chuỗi hoàn chỉnh cho đến một CA gốc, nhưng có thể gây hiểu nhầm.
OpenSSL 1.1.1 11 Sep 2018) yêu cầu đối số -CApathphải là một thư mục hiện có.
openssl x509hướng dẫn.