सभी उपलब्ध एसएसएल सीए प्रमाणपत्रों की सूची बनाएं


35

मेरे ग्राहक का दावा है

error: Peer's Certificate issuer is not recognized.

इसका अर्थ है कि यह वैश्विक सिस्टम कीरिंग में संबंधित ssl सर्वर कुंजी नहीं खोज सकता है। मैं एक gentoo linux सिस्टम पर सभी सिस्टम वाइड उपलब्ध ssl कुंजियों की सूची को देखकर इसकी जाँच करना चाहता हूँ । मुझे यह सूची कैसे मिल सकती है?

जवाबों:


65

यह एसएसएल कुंजी नहीं है जो आप चाहते हैं, यह प्रमाणपत्र प्राधिकारी है, और अधिक सटीक रूप से उनके प्रमाण पत्र।

तुम कोशिश कर सकते हो:

awk -v cmd='openssl x509 -noout -subject' '
    /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt

में हर सीए प्रमाण पत्र के "विषय" प्राप्त करने के लिए /etc/ssl/certs/ca-certificates.crt

खबरदार कि कभी-कभी, आपको वह त्रुटि मिलती है जब एसएसएल सर्वर मध्यवर्ती प्रमाण पत्र प्रदान करना भूल जाते हैं।

openssl s_client -showcerts -connect the-git-server:443भेजे जाने वाले प्रमाणपत्रों की सूची प्राप्त करने के लिए उपयोग करें ।


2
//, यह CEntOS 6 पर काम नहीं करता है, लेकिन मैंने यहाँ CEntOS 6 के लिए एक उत्तर जोड़ा है: unix.stackexchange.com/a/363309/48498
नाथन बासनी

1
पी 11-किट पैकेजtrust list से सूची अनिवार्य रूप से समान है?
पाब्लो ए

15

जेंटू के बारे में निश्चित नहीं है, लेकिन अधिकांश डिस्ट्रो ने सिस्टम-वाइड लोकेशन में अपने सर्टिफिकेट सॉफ्ट-लिंक में डाल दिए हैं /etc/ssl/certs

  • मुख्य फाइलें अंदर जाती हैं /etc/ssl/private
  • सिस्टम-प्रदान की गई वास्तविक फाइलें यहां स्थित हैं /usr/share/ca-certificates
  • कस्टम प्रमाण पत्र में जाते हैं /usr/local/share/ca-certificates

जब भी आप उपर्युक्त रास्तों में से एक में प्रमाण पत्र डालते हैं, तो update-ca-certificatesअद्यतन /etc/ssl/certsसूचियों को चलाएं ।


1
/etc/ssl/certsgentoo में सही फ़ोल्डर है लेकिन इंसानी आंखों के लिए पढ़ने के लिए फाइलें ठीक नहीं हैं।
जोनास स्टीन

3
यह update-ca-certificatesएक अतिरिक्त के साथ है s(इसे स्वयं संपादित नहीं किया जा सकता है, क्योंकि यह सिर्फ एक-चरित्र संपादित है)।
स्लावेन ज़िक

@SlavenRezic - किसी ने इसे ठीक किया।
क्रेग एस। एंडरसन

3

मुझे सभी सर्वरों को हमारे सर्वर पर सूचीबद्ध करने और सूचित करने की आवश्यकता थी कि क्या वे समाप्त होने वाले हैं। हम इस आदेश के साथ आए:

locate .pem | grep "\.pem$" | xargs -I{} openssl x509 -issuer -enddate -noout -in {}
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.