ここに保存されているrsaキー、CAバンドル、および証明書が正常であることを検証/検証しようとしています。Webサーバーによって提供されていません。どうすればそれらを確認できますか?
ここに保存されているrsaキー、CAバンドル、および証明書が正常であることを検証/検証しようとしています。Webサーバーによって提供されていません。どうすればそれらを確認できますか?
回答:
証明書がPEM形式であると仮定すると、次のことができます。
openssl verify cert.pem
「ca-bundle」が追加の中間証明書をPEM形式で含むファイルの場合:
openssl verify -untrusted ca-bundle cert.pem
インストールされているルート証明書のセット(など/etc/ssl/certs)を自動的に使用するようにopensslがセットアップされていない場合は、-CApathまたは-CAfileを使用してCAを指定できます。
-CApath nosuchdir場合は、server.crtとcacert.pemの組み合わせにルートCAを含める必要があります。opensslがそれらのファイルを使用して中間CAまでしか機能しない場合、文句を言います。
/certs/。これは問題を引き起こしますか?サーバーが動作する状況でimがスタックするため、http curlは動作しますが、https .. curlはエラーを受け取ります。ウェブサイトが機能しなくなった場所。
証明書チェーンを確認するためのワンライナーは次のとおりです。
openssl verify -verbose -x509_strict -CAfile ca.pem -CApath nosuchdir cert_chain.pem
これは、CAをどこにもインストールする必要はありません。
詳細については、https://stackoverflow.com/questions/20409534/how-does-an-ssl-certificate-chain-bundle-workを参照してください。
-CApath nosuchdirこれを回答に追加しました。ありがとうございました。
-CAfile自体が単なる中間証明書である場合、opensslは文句を言います。verifyルートCAまでの完全なチェーンが必要なため、これは正しい動作ですが、誤解を招く可能性があります。
OpenSSL 1.1.1 11 Sep 2018)では、引数を-CApath既存のディレクトリにする必要があります。
openssl x509マニュアルのセクションをご覧ください。