Saya mencoba memvalidasi / memverifikasi bahwa kunci rsa, bundel, dan sertifikat yang disimpan di sini baik-baik saja. Mereka tidak dilayani oleh server web. Bagaimana saya bisa memverifikasi mereka?
Jawaban:
Dengan asumsi sertifikat Anda dalam format PEM, Anda dapat melakukan:
openssl verify cert.pem
Jika "ca-bundle" Anda adalah file yang berisi sertifikat perantara tambahan dalam format PEM:
openssl verify -untrusted ca-bundle cert.pem
Jika openssl Anda tidak diatur untuk secara otomatis menggunakan satu set sertifikat root yang diinstal (misalnya di /etc/ssl/certs), maka Anda dapat menggunakan -CApathatau -CAfileuntuk menentukan CA.
-CApath nosuchdirkombinasi server.crt dan cacert.pem harus menyertakan root CA; Jika openssl hanya dapat bekerja sampai CA menengah dengan file-file itu maka itu akan mengeluh.
/certs/. apakah ini akan menyebabkan masalah? karena saya ditumpuk dalam situasi di mana server saya bekerja, http curl bekerja, tetapi https .. curl mendapat kesalahan. di mana situs web berhenti berfungsi.
Berikut ini adalah satu-liner untuk memverifikasi rantai sertifikat:
openssl verify -verbose -x509_strict -CAfile ca.pem -CApath nosuchdir cert_chain.pem
Ini tidak perlu menginstal CA di mana pun.
Lihat https://stackoverflow.com/questions/20409534/how-does-an-ssl-certificate-chain-chain-bundle-work untuk detailnya.
-CApath nosuchdirini untuk menjawab. Terima kasih.
-CAfileitu sendiri hanya merupakan sertifikat perantara, maka openssl akan mengeluh. Ini adalah perilaku yang benar, karena verifymembutuhkan rantai lengkap sampai ke root CA, tetapi bisa menyesatkan.
OpenSSL 1.1.1 11 Sep 2018) membutuhkan argumen -CApathuntuk menjadi direktori yang ada.
openssl x509manual.