The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проверка SSL сертификата из командной строки
Предположим, что нам нужно проверить SSL сертификат сайта www.test.net

Создаем рабочие директории:

    mkdir -p ~/tmp/cert
    cd ~/tmp/cert

1. Получаем копию сертификата:

   openssl s_client -showcerts -connect www.test.net:443 > test.pem


Запоминаем данные из секции "Server certificate", касающиеся утвердившей сертификат организации:

   cat test.pem| grep issuer

   issuer=/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy...

Непосредственно нужный нам сертификат находится в test.pem между метками
"-----BEGIN CERTIFICATE-----"
и "-----END CERTIFICATE-----",  удалять лишнее не обязательно, утилиты openssl
воспримут его и в таком виде.

2. Получаем сертификат удостоверяющего центра, URL которого мы нашли на прошлом шаге в поле issuer:

   wget https://certs.godaddy.com/repository/gd_bundle.crt -O gd.pem

3. Создаем символические ссылки на основе сопоставленных им хешей:

   c_rehash ~/tmp/cert

   Doing  ~/tmp/cert
   test.pem => 1d97af50.0
   gd.pem => 219d9499.0

4. Проверка сертификата.

Удостоверимся, что сертификаты рабочие и загружены корректно:

   openssl verify -CApath ~/tmp/cert/ 

или для проверки текущего состояния сайта в сочетании с ранее сохраненными сертификатами:

   openssl s_client -CApath ~/tmp/cert/ -connect www.test.net:443 | grep "Verify return code:"

   Verify return code: 0 (ok)
 
28.05.2009 , Источник: http://www.cyberciti.biz/faq/test-s...
Ключи: cert, openssl, ssl / Лицензия: CC-BY
Раздел:    Корень / Безопасность / Шифрование, PGP

Обсуждение [ RSS ]
  • 1.1, pedro (?), 11:20, 28/05/2009 [ответить]  
  • +/
    А чем плох такой метод:

    openssl verify -CApath ~/tmp/cert/

     
  • 1.2, x86 (?), 18:12, 31/05/2009 [ответить]  
  • +/
    а всего-то нужно было руководство по openssl прочесть ...
     
     
  • 2.3, Аноним (-), 21:21, 31/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >а всего-то нужно было руководство по openssl прочесть ...

    Да не говори, всего-то 300 страниц прочитать.

     
     
  • 3.4, o.k. (?), 12:15, 01/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>а всего-то нужно было руководство по openssl прочесть ...
    >
    >Да не говори, всего-то 300 страниц прочитать.

    учитвая, то что это один из основных инструментов системного администратора, и то, все 300 страниц не пригодятся, то не так уж и много ..

     
     
  • 4.5, fdss (?), 01:43, 07/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    на вряд ли опенссл можно назвать "основным" инструментом.
    на практике он используется в основном для генерации сертификатов скажем для впн, веба и почты. что происходит краааайне редко. поэтому можно не читать 300 стр. )
     
     
  • 5.6, x86 (?), 19:47, 07/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    веб сервер apache настраиватеся только один раз, поэтому его нельзя считать основным инструментом системного администратора.
     
     
  • 6.7, Pahanivo (ok), 10:55, 11/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >веб сервер apache настраиватеся только один раз, поэтому его нельзя считать основным
    >инструментом системного администратора.

    веб сервер да ) а вот сертификаты имеь срок годности )

     

  • 1.8, rcn (?), 21:16, 15/06/2009 [ответить]  
  • +/
    Не совсем ясно как получается ссылка для шага 2.

    К тому иногда в сертификат чейне даже и намёка нет на адрес где можно взять сертификат CA.
    Например:
    openssl s_client -showcerts -connect mail.google.com:443

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру