| Проверка SSL сертификата из командной строки |
[исправить] |
Предположим, что нам нужно проверить SSL сертификат сайта www.test.net
Создаем рабочие директории:
mkdir -p ~/tmp/cert
cd ~/tmp/cert
1. Получаем копию сертификата:
openssl s_client -showcerts -connect www.test.net:443 > test.pem
Запоминаем данные из секции "Server certificate", касающиеся утвердившей сертификат организации:
cat test.pem| grep issuer
issuer=/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy...
Непосредственно нужный нам сертификат находится в test.pem между метками
"-----BEGIN CERTIFICATE-----"
и "-----END CERTIFICATE-----", удалять лишнее не обязательно, утилиты openssl
воспримут его и в таком виде.
2. Получаем сертификат удостоверяющего центра, URL которого мы нашли на прошлом шаге в поле issuer:
wget https://certs.godaddy.com/repository/gd_bundle.crt -O gd.pem
3. Создаем символические ссылки на основе сопоставленных им хешей:
c_rehash ~/tmp/cert
Doing ~/tmp/cert
test.pem => 1d97af50.0
gd.pem => 219d9499.0
4. Проверка сертификата.
Удостоверимся, что сертификаты рабочие и загружены корректно:
openssl verify -CApath ~/tmp/cert/
или для проверки текущего состояния сайта в сочетании с ранее сохраненными сертификатами:
openssl s_client -CApath ~/tmp/cert/ -connect www.test.net:443 | grep "Verify return code:"
Verify return code: 0 (ok)
|
| |
|
|
|
| Раздел: Корень / Безопасность / Шифрование, PGP |
| 1.1, pedro (?), 11:20, 28/05/2009 [ответить]
| +/– |
 А чем плох такой метод:
openssl verify -CApath ~/tmp/cert/
| | |
| 1.2, x86 (?), 18:12, 31/05/2009 [ответить]
| +/– |
а всего-то нужно было руководство по openssl прочесть ...
| | |
| |
| 2.3, Аноним (-), 21:21, 31/05/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>а всего-то нужно было руководство по openssl прочесть ...
Да не говори, всего-то 300 страниц прочитать.
| | |
| |
| 3.4, o.k. (?), 12:15, 01/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>а всего-то нужно было руководство по openssl прочесть ...
>
>Да не говори, всего-то 300 страниц прочитать.
учитвая, то что это один из основных инструментов системного администратора, и то, все 300 страниц не пригодятся, то не так уж и много ..
| | |
| |
| 4.5, fdss (?), 01:43, 07/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
на вряд ли опенссл можно назвать "основным" инструментом.
на практике он используется в основном для генерации сертификатов скажем для впн, веба и почты. что происходит краааайне редко. поэтому можно не читать 300 стр. )
| | |
| |
| 5.6, x86 (?), 19:47, 07/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
веб сервер apache настраиватеся только один раз, поэтому его нельзя считать основным инструментом системного администратора.
| | |
| |
| 6.7, Pahanivo (ok), 10:55, 11/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
 >веб сервер apache настраиватеся только один раз, поэтому его нельзя считать основным
>инструментом системного администратора.
веб сервер да ) а вот сертификаты имеь срок годности )
| | |
|
|
|
|
|
| 1.8, rcn (?), 21:16, 15/06/2009 [ответить]
| +/– | |
Не совсем ясно как получается ссылка для шага 2.
К тому иногда в сертификат чейне даже и намёка нет на адрес где можно взять сертификат CA.
Например:
openssl s_client -showcerts -connect mail.google.com:443
| | |
|