Estoy tratando de validar / verificar que la clave rsa, el paquete ca y el certificado almacenados aquí estén bien. No están siendo atendidos por un servidor web. ¿Cómo puedo verificarlos?
command-line
ssl
openssl
xenoterracida
fuente
fuente
openssl x509
sección del manual.Respuestas:
Suponiendo que sus certificados estén en formato PEM, puede hacer:
Si su "ca-bundle" es un archivo que contiene certificados intermedios adicionales en formato PEM:
Si su openssl no está configurado para usar automáticamente un conjunto instalado de certificados raíz (por ejemplo, en
/etc/ssl/certs
), puede usar-CApath
o-CAfile
especificar la CA.fuente
-CApath nosuchdir
, la combinación de server.crt y cacert.pem debe incluir la CA raíz; si openssl solo puede funcionar hasta una CA intermedia con esos archivos, entonces se quejará./certs/
. ¿causara esto un problema? porque estoy apilado en una situación en la que mi servidor funciona, http curl funciona, pero https .. curl obtiene un error. donde el sitio web dejó de funcionar.Aquí hay una línea para verificar una cadena de certificados:
Esto no requiere instalar CA en ningún lado.
Ver https://stackoverflow.com/questions/20409534/how-does-an-ssl-certificate-chain-bundle-work para más detalles.
fuente
-CApath nosuchdir
esto para responder. Gracias.-CAfile
sí mismo es solo un certificado intermedio, openssl se quejará. Este es el comportamiento correcto, ya queverify
requiere una cadena completa hasta una CA raíz, pero puede ser engañoso.OpenSSL 1.1.1 11 Sep 2018
) requiere que el argumento-CApath
sea un directorio existente.