웹 사이트에서 다음을 수행 할 수 있습니다.
openssl s_client -showcerts -verify 5 -connect stackexchange.com:443 < /dev/null
그러면 인증서 체인과 서버가 제시 한 모든 인증서가 표시됩니다.
이 두 인증서를 파일에 저장하면 openssl verify
다음을 사용할 수 있습니다 .
$ openssl verify -show_chain -untrusted dc-sha2.crt se.crt
se.crt: OK
Chain:
depth=0: C = US, ST = NY, L = New York, O = "Stack Exchange, Inc.", CN = *.stackexchange.com (untrusted)
depth=1: C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA (untrusted)
depth=2: C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV Root CA
이 -untrusted
옵션은 중간 인증서를 제공하는 데 사용됩니다. se.crt
확인할 인증서입니다. depth = 2 결과는 시스템의 신뢰할 수있는 CA 저장소에서 나온 것입니다.
중간 인증서가 없으면 확인을 수행 할 수 없습니다. 바로 X.509가 작동하는 방식입니다.
인증서에 따라 중간 인증서를 가져올 URI가 포함될 수 있습니다. 예를 들어, 다음을 openssl x509 -in se.crt -noout -text
포함합니다.
Authority Information Access:
OCSP - URI:http://ocsp.digicert.com
CA Issuers - URI:http://cacerts.digicert.com/DigiCertSHA2HighAssuranceServerCA.crt
"CA 발급자"URI는 중간 인증서 (DER 형식)를 가리 키므로 openssl x509 -inform der -in DigiCertSHA2HighAssuranceServerCA.crt -out DigiCertSHA2HighAssuranceServerCA.pem
OpenSSL에서 나중에 사용할 수 있도록 변환하는 데 사용해야 합니다.
openssl x509 -in /tmp/DigiCertSHA2HighAssuranceServerCA.pem -noout -issuer_hash
get 을 실행 하면 244b5494
시스템 루트 CA 저장소에서 찾을 수 있습니다 /etc/ssl/certs/244b5494.0
( .0
이름에 추가 하십시오).
나는 당신을 위해 그 모든 것을 할 수있는 훌륭하고 쉬운 OpenSSL 명령이 있다고 생각하지 않습니다.