我有一个具有中间证书和根证书的终端实体/服务器证书。当我cat
使用最终实体证书时,只能看到一个BEGIN
和END
标签。这是唯一的最终实体证书。
有什么办法可以查看中间证书和根证书的内容。我只需要BEGIN
和END
标签的内容。
在Windows中,我可以从“证书路径”中看到完整的证书链。以下是Stack Exchange证书的示例。
从那里,我可以执行查看证书并将其导出。我可以在Windows中同时针对root用户和中级用户执行此操作。我正在Linux中寻找相同的方法。
我有一个具有中间证书和根证书的终端实体/服务器证书。当我cat
使用最终实体证书时,只能看到一个BEGIN
和END
标签。这是唯一的最终实体证书。
有什么办法可以查看中间证书和根证书的内容。我只需要BEGIN
和END
标签的内容。
在Windows中,我可以从“证书路径”中看到完整的证书链。以下是Stack Exchange证书的示例。
从那里,我可以执行查看证书并将其导出。我可以在Windows中同时针对root用户和中级用户执行此操作。我正在Linux中寻找相同的方法。
Answers:
在网站上,您可以执行以下操作:
openssl s_client -showcerts -verify 5 -connect stackexchange.com:443 < /dev/null
这将显示证书链和服务器提供的所有证书。
现在,如果我将这两个证书保存到文件中,则可以使用openssl verify
:
$ openssl verify -show_chain -untrusted dc-sha2.crt se.crt
se.crt: OK
Chain:
depth=0: C = US, ST = NY, L = New York, O = "Stack Exchange, Inc.", CN = *.stackexchange.com (untrusted)
depth=1: C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA (untrusted)
depth=2: C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV Root CA
该-untrusted
选项用于提供中间证书;se.crt
是要验证的证书。depth = 2结果来自系统受信任的CA存储。
如果您没有中间证书,则无法执行验证。这就是X.509的工作方式。
根据证书的不同,它可能包含用于获取中间件的URI。例如,openssl x509 -in se.crt -noout -text
包含:
Authority Information Access:
OCSP - URI:http://ocsp.digicert.com
CA Issuers - URI:http://cacerts.digicert.com/DigiCertSHA2HighAssuranceServerCA.crt
该“ CA Issuers” URI指向中间证书(DER格式,因此您需要openssl x509 -inform der -in DigiCertSHA2HighAssuranceServerCA.crt -out DigiCertSHA2HighAssuranceServerCA.pem
用于将其转换以供OpenSSL进一步使用)。
如果运行,openssl x509 -in /tmp/DigiCertSHA2HighAssuranceServerCA.pem -noout -issuer_hash
则会得到244b5494
,您可以在系统根CA存储中查找/etc/ssl/certs/244b5494.0
(仅.0
在名称后面)。
我认为没有一个简单易用的OpenSSL命令可以为您完成所有操作。
BEGIN
和END
标签(你只会得到之后cat
荷兰国际集团的.crt文件。
openssl x509 -in file.crt -noout -text
BEGIN
和END
标签之间的中间内容。
openssl x509
命令未显示,则我认为中间证书不存在。(除非您从中遇到一些错误openssl x509
)。
tl; dr-一种班轮bash魔术来丢弃链中的所有证书
openssl s_client -showcerts -verify 5 -connect de.wikipedia.org:443 < /dev/null | awk '/BEGIN/,/END/{ if(/BEGIN/){a++}; out="cert"a".crt"; print >out}' && for cert in *.crt; do newname=$(openssl x509 -noout -subject -in $cert | sed -n 's/^.*CN=\(.*\)$/\1/; s/[ ,.*]/_/g; s/__/_/g; s/^_//g;p').pem; mv $cert $newname; done
分两步说明
要将链中的所有证书转储为当前目录,如下所示cert${chain_number}.pem
:
openssl s_client -showcerts -verify 5 -connect your_host:443 < /dev/null | awk '/BEGIN/,/END/{ if(/BEGIN/){a++}; out="cert"a".pem"; print >out}'
红利轨道将其重命名为通用名称:
for cert in *.pem; do newname=$(openssl x509 -noout -subject -in $cert | sed -n 's/^.*CN=\(.*\)$/\1/; s/[ ,.*]/_/g; s/__/_/g; s/^_//g;p').pem; mv $cert $newname; done