The OpenNET Project: Проверка SSL сертификата из командной строки

Проверка SSL сертификата из командной строки	[исправить]
Предположим, что нам нужно проверить SSL сертификат сайта www.test.net Создаем рабочие директории: mkdir -p ~/tmp/cert cd ~/tmp/cert 1. Получаем копию сертификата: openssl s_client -showcerts -connect www.test.net:443 > test.pem Запоминаем данные из секции "Server certificate", касающиеся утвердившей сертификат организации: cat test.pem\| grep issuer issuer=/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy... Непосредственно нужный нам сертификат находится в test.pem между метками "-----BEGIN CERTIFICATE-----" и "-----END CERTIFICATE-----", удалять лишнее не обязательно, утилиты openssl воспримут его и в таком виде. 2. Получаем сертификат удостоверяющего центра, URL которого мы нашли на прошлом шаге в поле issuer: wget https://certs.godaddy.com/repository/gd_bundle.crt -O gd.pem 3. Создаем символические ссылки на основе сопоставленных им хешей: c_rehash ~/tmp/cert Doing ~/tmp/cert test.pem => 1d97af50.0 gd.pem => 219d9499.0 4. Проверка сертификата. Удостоверимся, что сертификаты рабочие и загружены корректно: openssl verify -CApath ~/tmp/cert/ или для проверки текущего состояния сайта в сочетании с ранее сохраненными сертификатами: openssl s_client -CApath ~/tmp/cert/ -connect www.test.net:443 \| grep "Verify return code:" Verify return code: 0 (ok)


28.05.2009 , Источник: http://www.cyberciti.biz/faq/test-s... Ключи: cert, openssl, ssl / Лицензия: CC-BY
Раздел: Корень / Безопасность / Шифрование, PGP

Обсуждение

[ RSS ]

1.1, pedro (?), 11:20, 28/05/2009 [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
А чем плох такой метод: openssl verify -CApath ~/tmp/cert/

1.2, x86 (?), 18:12, 31/05/2009 [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
а всего-то нужно было руководство по openssl прочесть ...

2.3, Аноним (-), 21:21, 31/05/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]

>а всего-то нужно было руководство по openssl прочесть ...

Да не говори, всего-то 300 страниц прочитать.

3.4, o.k. (?), 12:15, 01/06/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
>>а всего-то нужно было руководство по openssl прочесть ... > >Да не говори, всего-то 300 страниц прочитать. учитвая, то что это один из основных инструментов системного администратора, и то, все 300 страниц не пригодятся, то не так уж и много ..

4.5, fdss (?), 01:43, 07/06/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
на вряд ли опенссл можно назвать "основным" инструментом. на практике он используется в основном для генерации сертификатов скажем для впн, веба и почты. что происходит краааайне редко. поэтому можно не читать 300 стр. )

5.6, x86 (?), 19:47, 07/06/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
веб сервер apache настраиватеся только один раз, поэтому его нельзя считать основным инструментом системного администратора.

6.7, Pahanivo (ok), 10:55, 11/06/2009 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
>веб сервер apache настраиватеся только один раз, поэтому его нельзя считать основным >инструментом системного администратора. веб сервер да ) а вот сертификаты имеь срок годности )

1.8, rcn (?), 21:16, 15/06/2009 [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]	+/–
Не совсем ясно как получается ссылка для шага 2. К тому иногда в сертификат чейне даже и намёка нет на адрес где можно взять сертификат CA. Например: openssl s_client -showcerts -connect mail.google.com:443

Добавить комментарий

Имя:
E-Mail:
Заголовок:
Текст:

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру