Kök CA ve Alt CA'yı Linux'taki bir sertifika zincirinden nasıl çıkarabilirim?

Orta ve kök sertifikasına sahip bir son varlık / sunucu sertifikam var. Son catvarlık sertifikasındayken, sadece bir tane BEGINve ENDetiket görüyorum . Tek nihai varlık sertifikasıdır.

Orta ve kök sertifika içeriğini görebilmemin bir yolu var mı? Sadece içeriğine BEGINve ENDetiketine ihtiyacım var.

Windows'ta tam sertifika zincirini "Sertifika Yolu" ndan görebiliyorum. Aşağıda Stack Exchange sertifikası örneği verilmiştir.

Oradan bir Görünüm Sertifikası gerçekleştirebilir ve bunları dışa aktarabilirim. Bunu hem kök hem de Windows için orta düzeyde yapabilirim. Linux'ta da aynı yöntemi arıyorum.

Bir web sitesinden şunları yapabilirsiniz:

openssl s_client -showcerts -verify 5 -connect stackexchange.com:443 < /dev/null

Bu, sertifika zincirini ve sunucunun sunduğu tüm sertifikaları gösterecektir.

Şimdi, bu iki sertifikayı dosyalara kaydedersem, şunu kullanabilirim openssl verify:

$ openssl verify -show_chain -untrusted dc-sha2.crt se.crt 
se.crt: OK
Chain:
depth=0: C = US, ST = NY, L = New York, O = "Stack Exchange, Inc.", CN = *.stackexchange.com (untrusted)
depth=1: C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA (untrusted)
depth=2: C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV Root CA

Bu -untrustedseçenek ara sertifikaları / sertifikaları vermek için kullanılır; se.crtdoğrulamak için sertifika. Derinlik = 2 sonuç sistem güvenilir CA deposundan geldi.

Ara sertifikalarınız yoksa, doğrulama işlemini gerçekleştiremezsiniz. Bu sadece X.509’un işleyiş şekli.

Sertifikaya bağlı olarak, ara ürünü almak için bir URI içerebilir. Örnek olarak openssl x509 -in se.crt -noout -textşunları içerir:

        Authority Information Access: 
            OCSP - URI:http://ocsp.digicert.com
            CA Issuers - URI:http://cacerts.digicert.com/DigiCertSHA2HighAssuranceServerCA.crt

“CA İhraççıları” URI'sının ara sertifikaya işaret ettiğini (DER biçiminde, bu yüzden openssl x509 -inform der -in DigiCertSHA2HighAssuranceServerCA.crt -out DigiCertSHA2HighAssuranceServerCA.pemOpenSSL tarafından daha fazla kullanmak üzere kullanmanız gerekir ).

Eğer kaçarsan openssl x509 -in /tmp/DigiCertSHA2HighAssuranceServerCA.pem -noout -issuer_hashalmak 244b5494en sistem kök CA deposunda bulabileceği, /etc/ssl/certs/244b5494.0(sadece ekleme .0isme).

Bunları sizin için yapmanın kolay ve kolay bir OpenSSL komutu olduğunu sanmıyorum.

tl; dr - zincirdeki tüm döküntüleri atmak için bir liner bash magic

openssl s_client -showcerts -verify 5 -connect de.wikipedia.org:443 < /dev/null | awk '/BEGIN/,/END/{ if(/BEGIN/){a++}; out="cert"a".crt"; print >out}' && for cert in *.crt; do newname=$(openssl x509 -noout -subject -in $cert | sed -n 's/^.*CN=\(.*\)$/\1/; s/[ ,.*]/_/g; s/__/_/g; s/^_//g;p').pem; mv $cert $newname; done

2 adımda açıklama

Zincirdeki bütün parçaları şu andaki dirse dökmek için cert${chain_number}.pem:

openssl s_client -showcerts -verify 5 -connect your_host:443 < /dev/null | awk '/BEGIN/,/END/{ if(/BEGIN/){a++}; out="cert"a".pem"; print >out}' 

Bunları ortak adlarıyla yeniden adlandırmak için bonus-track:

for cert in *.pem; do newname=$(openssl x509 -noout -subject -in $cert | sed -n 's/^.*CN=\(.*\)$/\1/; s/[ ,.*]/_/g; s/__/_/g; s/^_//g;p').pem; mv $cert $newname; done