J'essaie de valider / vérifier que la clé RSA, le paquetage ca et le certificat stockés ici sont corrects. Ils ne sont pas servis par un serveur web. Comment puis-je les vérifier?
Réponses:
En supposant que vos certificats soient au format PEM, vous pouvez effectuer les opérations suivantes:
openssl verify cert.pem
Si votre "ca-bundle" est un fichier contenant des certificats intermédiaires supplémentaires au format PEM:
openssl verify -untrusted ca-bundle cert.pem
Si votre openssl n'est pas configuré pour utiliser automatiquement un ensemble de certificats racine (par exemple, in /etc/ssl/certs), vous pouvez utiliser -CApathou -CAfilespécifier l'autorité de certification.
-CApath nosuchdirAutre mise en garde: si vous utilisez alors la combinaison server.crt et cacert.pem doit inclure l'autorité de certification racine; si openssl ne peut fonctionner qu'avec une autorité de certification intermédiaire avec ces fichiers, il se plaindra.
/certs/. cela causera-t-il un problème? parce que im est empilé dans une situation où mon serveur fonctionne, http curl fonctionne, mais https .. curl obtient une erreur. où le site Web a cessé de fonctionner.
Voici une procédure pour vérifier une chaîne de certificats:
openssl verify -verbose -x509_strict -CAfile ca.pem -CApath nosuchdir cert_chain.pem
Cela ne nécessite pas d'installer CA où que ce soit.
Voir https://stackoverflow.com/questions/20409534/how-does-an-ssl-certificate-chain-bundle-work pour plus de détails.
-CApath nosuchdirceci pour répondre. Je vous remercie.
-CAfileest en soi un certificat intermédiaire, alors openssl se plaindra. Ce comportement est correct car il verifynécessite une chaîne complète allant jusqu'à l'autorité de certification racine, mais peut être trompeur.
OpenSSL 1.1.1 11 Sep 2018) nécessite que l'argument -CApathsoit un répertoire existant.
openssl x509section du manuel.