Próbuję sprawdzić / zweryfikować, czy przechowywany tutaj klucz rsa, pakiet ca i certyfikat są prawidłowe. Nie są obsługiwane przez serwer WWW. Jak mogę je zweryfikować?
command-line
ssl
openssl
ksenoterracid
źródło
źródło
openssl x509
instrukcję obsługi.Odpowiedzi:
Zakładając, że twoje certyfikaty są w formacie PEM, możesz:
Jeśli Twój „pakiet” jest plikiem zawierającym dodatkowe certyfikaty pośrednie w formacie PEM:
Jeśli Twój openssl nie jest skonfigurowany do automatycznego korzystania z zainstalowanego zestawu certyfikatów głównych (np. W
/etc/ssl/certs
), możesz użyć-CApath
lub-CAfile
określić urząd certyfikacji.źródło
-CApath nosuchdir
kombinacja server.crt i cacert.pem musi zawierać główny urząd certyfikacji; jeśli openssl może pracować tylko z pośrednim urzędem certyfikacji z tymi plikami, będzie narzekać./certs/
. czy to spowoduje problem? ponieważ jestem na sobie w sytuacji, gdy mój serwer działa, curl http działa, ale https .. curl dostaje błąd. gdzie strona przestała działać.Oto jedna linijka do weryfikacji łańcucha certyfikatów:
Nie wymaga to instalacji CA w dowolnym miejscu.
Szczegółowe informacje można znaleźć na stronie https://stackoverflow.com/questions/20409534/how-does-an-ssl-certificate-chain-bundle-work .
źródło
-CApath nosuchdir
to, aby odpowiedzieć. Dziękuję Ci.-CAfile
sam jest tylko certyfikatem pośrednim, openssl będzie narzekać. Jest to prawidłowe zachowanie, ponieważverify
wymaga pełnego łańcucha aż do głównego urzędu certyfikacji, ale może wprowadzać w błąd.OpenSSL 1.1.1 11 Sep 2018
) wymaga, aby argument-CApath
był istniejącym katalogiem.