मैं यह सत्यापित करने / सत्यापित करने की कोशिश कर रहा हूं कि यहाँ संग्रहीत rsa कुंजी, ca-बंडल और प्रमाणपत्र ठीक हैं। उन्हें एक वेबसर्वर द्वारा सेवा नहीं दी जा रही है। मैं उन्हें कैसे सत्यापित कर सकता हूं?
जवाबों:
मान लें कि आपके प्रमाणपत्र PEM प्रारूप में हैं, तो आप यह कर सकते हैं:
openssl verify cert.pem
यदि आपका "सीए-बंडल" एक फ़ाइल है जिसमें PEM प्रारूप में अतिरिक्त मध्यवर्ती प्रमाणपत्र हैं:
openssl verify -untrusted ca-bundle cert.pem
यदि आपका ओप्सल स्वचालित रूप से रूट प्रमाणपत्र (जैसे /etc/ssl/certs) के स्थापित सेट का उपयोग करने के लिए सेट नहीं किया गया है , तो आप सीए का उपयोग -CApathया -CAfileनिर्दिष्ट कर सकते हैं ।
-CApath nosuchdirतो server.crt और cacert.pem के संयोजन में रूट CA शामिल होना चाहिए; अगर Opensl केवल उन फाइलों के साथ एक मध्यवर्ती CA तक काम कर सकता है तो यह शिकायत करेगा।
/certs/। क्या इससे समस्या होगी? क्योंकि im एक स्थिति में है जहाँ मेरा सर्वर काम करता है, http कर्ल काम करता है, लेकिन https .. कर्ल त्रुटि हो जाती है। जहां वेबसाइट ने काम करना बंद कर दिया था।
प्रमाणपत्र श्रृंखला को सत्यापित करने के लिए यहां एक-लाइनर है:
openssl verify -verbose -x509_strict -CAfile ca.pem -CApath nosuchdir cert_chain.pem
इसके लिए CA को कहीं भी स्थापित करने की आवश्यकता नहीं है।
देखें https://stackoverflow.com/questions/20409534/how-does-an-ssl-certificate-chain-bundle-work जानकारी के लिए।
-CApath nosuchdirजवाब देने के लिए इसे जोड़ा । धन्यवाद।
-CAfileअपने आप में सिर्फ एक मध्यवर्ती प्रमाणपत्र है, तो Opensl शिकायत करेगी। यह सही व्यवहार है, क्योंकि verifyरूट सीए तक सभी तरह की एक पूरी श्रृंखला की आवश्यकता होती है, लेकिन यह भ्रामक हो सकता है।
OpenSSL 1.1.1 11 Sep 2018) को -CApathमौजूदा निर्देशिका होने के लिए तर्क की आवश्यकता है ।
openssl x509पुस्तिका अनुभाग।