사용 가능한 모든 SSL CA 인증서 나열


35

내 자식 클라이언트 클레임

error: Peer's Certificate issuer is not recognized.

즉, 전역 시스템 키 링에서 해당 SSL 서버 키를 찾을 수 없습니다. 젠투 리눅스 시스템에서 사용 가능한 모든 시스템 SSL 키 목록 을 확인하여이를 확인하고 싶습니다 . 이 목록을 어떻게 얻을 수 있습니까?

답변:


65

원하는 SSL 키가 아니며 인증 기관이며 더 정확하게는 인증서입니다.

시도해 볼 수 있습니다 :

awk -v cmd='openssl x509 -noout -subject' '
    /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt

모든 CA 인증서의 "대상"을 가져 오려면 /etc/ssl/certs/ca-certificates.crt

SSL 서버가 중간 인증서 제공을 잊어 버릴 때 오류가 발생하는 경우가 있습니다.

openssl s_client -showcerts -connect the-git-server:443전송되는 인증서 목록을 얻는 데 사용하십시오 .


2
//, 이것은 CEntOS 6에서는 작동하지 않지만 여기에 CEntOS 6에 대한 답변을 추가했습니다. unix.stackexchange.com/a/363309/48498
Nathan Basanese

1
에서 목록 trust list에서 P11-키트 패키지는 본질적으로 동일하다?
파블로 A

15

젠투에 대해서는 잘 모르지만 대부분의 배포판은 시스템 전체의 위치에 인증서를 소프트 링크로 연결 /etc/ssl/certs합니다.

  • 키 파일은 /etc/ssl/private
  • 시스템 제공 실제 파일은 다음 위치에 있습니다. /usr/share/ca-certificates
  • 맞춤 인증서는 /usr/local/share/ca-certificates

위에서 언급 한 경로 중 하나에 인증서를 넣을 때마다 목록 update-ca-certificates을 업데이트하기 위해 실행하십시오 /etc/ssl/certs.


1
/etc/ssl/certs젠투의 올바른 폴더입니다. 그러나 파일은 사람의 눈에는 잘 읽을 수 없습니다.
Jonas Stein

3
그건 update-ca-certificates추가로 s(그냥 한 문자 수정 등으로, 자신이 편집 할 수 없습니다).
Slaven Rezic

@SlavenRezic-누군가가 고쳤습니다.
Craig S. Anderson

3

서버에있는 모든 인증서를 나열하고 만료 예정인지 알려야했습니다. 우리는이 명령을 내놓았습니다 :

locate .pem | grep "\.pem$" | xargs -I{} openssl x509 -issuer -enddate -noout -in {}
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.