Burada depolanan rsa anahtarı, ca-bundle ve sertifikanın doğru olduğunu doğrulamaya / doğrulamaya çalışıyorum. Bir web sunucusu tarafından sunulmuyorlar. Onları nasıl doğrulayabilirim?
Yanıtlar:
Sertifikalarınızın PEM biçiminde olduğunu varsayarak şunları yapabilirsiniz:
openssl verify cert.pem
"Ca-bundle", PEM biçiminde ek ara sertifikalar içeren bir dosyaysa:
openssl verify -untrusted ca-bundle cert.pem
Openssl, kurulu bir kök sertifika setini otomatik olarak kullanacak şekilde ayarlanmamışsa (örn., /etc/ssl/certs), CA'yı kullanabilir -CApathveya -CAfilebelirtebilirsiniz.
-CApath nosuchdir, server.crt ve cacert.pem kombinasyonunun root CA içermesi gerekir; openssl sadece bu dosyalar ile ara CA'ya kadar çalışabiliyorsa şikayet edecektir.
/certs/. bu bir soruna neden olur mu? sunucumun çalıştığı bir durumda yığılmış olduğum için http curl çalışıyor, ancak https .. curl hata alıyor. Web sitesinin çalışmayı durdurduğu yer.
Sertifika zincirini doğrulamak için bir liner:
openssl verify -verbose -x509_strict -CAfile ca.pem -CApath nosuchdir cert_chain.pem
Bu, CA'nın herhangi bir yere kurulmasını gerektirmez.
Ayrıntılar için https://stackoverflow.com/questions/20409534/how-does-an-ssl-certificate-chain-bundle-work adresine bakın.
-CApath nosuchdircevaplamak için ekledim . Teşekkür ederim.
-CAfilesadece bir ara sertifika ise, openssl şikayetçi olacaktır. Bu doğru davranıştır, çünkü verifykök CA'ya kadar komple bir zincir gerektirir, ancak yanıltıcı olabilir.
OpenSSL 1.1.1 11 Sep 2018), argümanın -CApathvar olan bir dizin olmasını gerektirir .
openssl x509manuel bölüm.