如何使用 openssl 命令行验证证书?
有读这可以用于:
openssl verify -verbose -CAfile cacert.pem server.crt
但是,我不知道如何获取证书文件(.pem),以及它是什么server.crt
?
任何帮助都值得感激:)
答案1
在这种情况下,cacert.pem 是签署证书的证书颁发机构的公钥(或钥匙串)。server.crt 是您要验证的证书。这通常用于在使用自签名证书之前检查它,因为您需要 CA 的完整公钥链。对于“真实”证书(即由公共签名证书颁发机构签署的证书),您需要所有这些 CA 的列表。以下是 Mozilla 使用的证书:https://wiki.mozilla.org/CA:IncludedCAs
如果你尝试验证公共 Web 服务器的证书,最简单的方法就是使用 SSLLabs 测试服务 -https://www.ssllabs.com/ssltest/。如果是私人服务,请在已知的全新安装上使用几个已知良好的浏览器,然后右键单击锁并查看证书 - 它会告诉您谁是根 CA,并让您知道是否存在任何链问题。