使用openssl verify验证证书链 |
您所在的位置:网站首页 › openssl crl验证证书是否撤销 › 使用openssl verify验证证书链 |
|
问题是,这openssl -verify不能完成任务。 正如Priyadi提到的那样,它会openssl -verify在第一个自签名证书处停止,因此您实际上并不会验证链,因为中间证书通常是自签名的。 我假设您想101%地确定证书文件是正确的,然后再尝试将其安装在生产性Web服务中。此处的配方完全执行了飞行前检查。 请注意,彼得的回答是正确的,但是输出的结果openssl -verify并不表明一切真的之后起作用。是的,它可能会发现一些问题,但不是全部。 这是一个脚本,用于在将证书链安装到Apache中之前对其进行验证。也许可以使用一些更加神秘的OpenSSL魔术来增强此功能,但是我不是OpenSSL专家,并且可以完成以下工作: #!/bin/bash # This Works is placed under the terms of the Copyright Less License, # see file COPYRIGHT.CLL. USE AT OWN RISK, ABSOLUTELY NO WARRANTY. # # COPYRIGHT.CLL can be found at http://permalink.de/tino/cll # (CLL is CC0 as long as not covered by any Copyright) OOPS() { echo "OOPS: $*" >&2; exit 23; } PID= kick() { [ -n "$PID" ] && kill "$PID" && sleep .2; PID=; } trap 'kick' 0 serve() { kick PID= openssl s_server -key "$KEY" -cert "$CRT" "$@" -www & PID=$! sleep .5 # give it time to startup } check() { while read -r line do case "$line" in 'Verify return code: 0 (ok)') return 0;; 'Verify return code: '*) return 1;; # *) echo "::: $line :::";; esac done < certificate.bundle以及如何找出需要哪些文件以及需要什么顺序? 好吧,进行实验,直到check告诉您一切都OK 为止。就像解决谜题的电脑益智游戏一样。每一个 单。时间。即使是专业人士。但是,每次需要这样做时,您都会变得更好。因此,您绝对不是唯一一个遭受如此痛苦的人。是SSL,您知道吗?SSL可能是30多年专业系统管理中最糟糕的设计之一。有没有想过为什么加密货币在过去30年没有成为主流?这就是为什么。纳夫说。 |
今日新闻 |
推荐新闻 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |