J'essaie de valider / vérifier que la clé RSA, le paquetage ca et le certificat stockés ici sont corrects. Ils ne sont pas servis par un serveur web. Comment puis-je les vérifier?
command-line
ssl
openssl
xénoterracide
la source
la source
openssl x509
section du manuel.Réponses:
En supposant que vos certificats soient au format PEM, vous pouvez effectuer les opérations suivantes:
Si votre "ca-bundle" est un fichier contenant des certificats intermédiaires supplémentaires au format PEM:
Si votre openssl n'est pas configuré pour utiliser automatiquement un ensemble de certificats racine (par exemple, in
/etc/ssl/certs
), vous pouvez utiliser-CApath
ou-CAfile
spécifier l'autorité de certification.la source
-CApath nosuchdir
Autre mise en garde: si vous utilisez alors la combinaison server.crt et cacert.pem doit inclure l'autorité de certification racine; si openssl ne peut fonctionner qu'avec une autorité de certification intermédiaire avec ces fichiers, il se plaindra./certs/
. cela causera-t-il un problème? parce que im est empilé dans une situation où mon serveur fonctionne, http curl fonctionne, mais https .. curl obtient une erreur. où le site Web a cessé de fonctionner.Voici une procédure pour vérifier une chaîne de certificats:
Cela ne nécessite pas d'installer CA où que ce soit.
Voir https://stackoverflow.com/questions/20409534/how-does-an-ssl-certificate-chain-bundle-work pour plus de détails.
la source
-CApath nosuchdir
ceci pour répondre. Je vous remercie.-CAfile
est en soi un certificat intermédiaire, alors openssl se plaindra. Ce comportement est correct car ilverify
nécessite une chaîne complète allant jusqu'à l'autorité de certification racine, mais peut être trompeur.OpenSSL 1.1.1 11 Sep 2018
) nécessite que l'argument-CApath
soit un répertoire existant.