URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 55033
[ Назад ]
Исходное сообщение
"Раздел полезных советов: Проверка SSL сертификата из командн..."
Отправлено auto_tips , 28-Май-09 11:20 
Предположим, что нам нужно проверить SSL сертификат сайта www.test.net

Создаем рабочие директории:

    mkdir -p ~/tmp/cert
    cd ~/tmp/cert

1. Получаем копию сертификата:

   openssl s_client -showcerts -connect www.test.net:443 > test.pem


Запоминаем данные из секции "Server certificate", касающиеся утвердившей сертификат организации:

   cat test.pem| grep issuer

   issuer=/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy...

Непосредственно нужный нам сертификат находится в test.pem между метками "-----BEGIN CERTIFICATE-----"
и "-----END CERTIFICATE-----",  удалять лишнее не обязательно, утилиты openssl воспримут его и в таком виде.

2. Получаем сертификат удостоверяющего центра, URL которого мы нашли на прошлом шаге в поле issuer:

   wget https://certs.godaddy.com/repository/gd_bundle.crt -O gd.pem

3. Создаем символические ссылки на основе сопоставленных им хешей:

   c_rehash ~/tmp/cert

   Doing  ~/tmp/cert
   test.pem => 1d97af50.0
   gd.pem => 219d9499.0

4. Проверка сертификата.

Удостоверимся, что сертификаты рабочие и загружены корректно:

   openssl s_client -CApath ~/tmp/cert/ -connect www.test.net:443 | grep "Verify return code:"

   Verify return code: 0 (ok)

URL: http://www.cyberciti.biz/faq/test-ssl-certificates-diagnosis.../
Обсуждается: http://www.opennet.ru/tips/info/2082.shtml

Содержание
Сообщения в этом обсуждении
"Проверка SSL сертификата из командной строки"
Отправлено pedro , 28-Май-09 11:20 
А чем плох такой метод:

openssl verify -CApath ~/tmp/cert/

"Проверка SSL сертификата из командной строки"
Отправлено x86 , 31-Май-09 18:12 
а всего-то нужно было руководство по openssl прочесть ...
"Проверка SSL сертификата из командной строки"
Отправлено Аноним , 31-Май-09 21:21 
>а всего-то нужно было руководство по openssl прочесть ...

Да не говори, всего-то 300 страниц прочитать.

"Проверка SSL сертификата из командной строки"
Отправлено o.k. , 01-Июн-09 12:15 
>>а всего-то нужно было руководство по openssl прочесть ...
>
>Да не говори, всего-то 300 страниц прочитать.

учитвая, то что это один из основных инструментов системного администратора, и то, все 300 страниц не пригодятся, то не так уж и много ..

"Проверка SSL сертификата из командной строки"
Отправлено fdss , 07-Июн-09 01:43 
на вряд ли опенссл можно назвать "основным" инструментом.
на практике он используется в основном для генерации сертификатов скажем для впн, веба и почты. что происходит краааайне редко. поэтому можно не читать 300 стр. )
"Проверка SSL сертификата из командной строки"
Отправлено x86 , 07-Июн-09 19:47 
веб сервер apache настраиватеся только один раз, поэтому его нельзя считать основным инструментом системного администратора.
"Проверка SSL сертификата из командной строки"
Отправлено Pahanivo , 11-Июн-09 10:55 
>веб сервер apache настраиватеся только один раз, поэтому его нельзя считать основным
>инструментом системного администратора.

веб сервер да ) а вот сертификаты имеь срок годности )

"Проверка SSL сертификата из командной строки"
Отправлено rcn , 15-Июн-09 21:16 
Не совсем ясно как получается ссылка для шага 2.

К тому иногда в сертификат чейне даже и намёка нет на адрес где можно взять сертификат CA.
Например:
openssl s_client -showcerts -connect mail.google.com:443