Я намагаюся перевірити / переконатися, що ключ rsa, ca-пакет та сертифікат, що зберігаються тут, добре. Їх не обслуговує веб-сервер. Як я можу їх перевірити?
Відповіді:
Припустимо, що ваші сертифікати у форматі PEM, ви можете:
openssl verify cert.pem
Якщо ваш "ca-bundle" - це файл, що містить додаткові проміжні сертифікати у форматі PEM:
openssl verify -untrusted ca-bundle cert.pem
Якщо ваш openssl не налаштовано для автоматичного використання встановленого набору кореневих сертифікатів (наприклад, в /etc/ssl/certs), ви можете використовувати -CApathабо -CAfileвказати CA.
-CApath nosuchdirтоді комбінація server.crt і cacert.pem повинна включати кореневий CA; якщо openssl може працювати лише до проміжного CA з цими файлами, тоді він скаржиться.
/certs/. це спричинить проблеми? тому що я укладається в ситуації, коли працює мій сервер, http curl працює, але https .. curl отримує помилку. де веб-сайт перестав працювати.
Ось один лайнер для підтвердження ланцюжка сертифікатів:
openssl verify -verbose -x509_strict -CAfile ca.pem -CApath nosuchdir cert_chain.pem
Для цього не потрібно встановлювати CA де-небудь.
Докладніше див. На веб-сторінці https://stackoverflow.com/questions/20409534/how-does-an-ssl-certificate-chain-bundle-work .
-CApath nosuchdirце у відповідь. Дякую.
-CAfileсамим собою, є лише проміжним сертифікатом, тоді openssl поскаржиться. Це правильна поведінка, оскільки verifyвимагає повного ланцюга аж до кореневого центру, але може вводити в оману.
OpenSSL 1.1.1 11 Sep 2018) вимагає, щоб аргумент -CApathбув існуючим каталогом.
openssl x509розділ керівництва.