是否有任何工具或机制可以帮助验证 CA 颁发的 SSL 证书,然后再将其安装到目标 Web 服务器上?
问问题
26367 次
2 回答
10
是的,您可以使用 openssl 通过 s_server 命令为您的证书创建测试服务器。这将创建一个响应端口 8080 上的 HTTP 请求的最小 SSL/TLS 服务器:
openssl s_server -accept 8080 -www -cert yourcert.pem -key yourcert.key -CAfile chain.pem
yourcert.pem 是 X.509 证书,yourcert.key 是您的私钥,chain.pem 包含您的证书和根证书之间的信任链。你的 CA 应该给你 yourcert.pem 和 chain.pem。
然后使用 openssl 的 s_client 进行连接:
openssl s_client -connect localhost:8080 -showcerts -CAfile rootca.pem
或在 Linux 上:
openssl s_client -connect localhost:8080 -showcerts -CApath /etc/ssl/certs
警告:该命令不会验证主机名是否与证书的 CN(公用名)或 SAN(subjectAltName)匹配。OpenSSL 还没有该任务的例程。它将被添加到 OpenSSL 1.1 中。
于 2013-09-30T09:02:42.900 回答
6
验证 CA 颁发的 SSL 的最佳和最简单的方法是对其进行解码。
这是一个有用的链接,它将帮助您做到这一点:http ://www.sslshopper.com/csr-decoder.html
希望这可以帮助!
于 2013-10-11T20:53:13.740 回答