Può OpenSSL verificare una chiave pubblica - catena di certificati CA intermedia con un certificato CA radice?

3

Ho provato a eseguire il seguente comando shell:

openssl verify -CAfile rootcert.pem publickey_imcert_chain.pem

dove publickey_imcert_chain.cert è una catena di:

  • servercert.pem (chiave pubblica firmata da imcert.pem)
  • imcert.pem (certificato intermedio firmato da rootcert.pem)

Li ho raggruppati usando:

cat publickey.pem imcert.pem > publickey_imcert_chain.pem 
  • rootcert.pem è il certificato CA radice autofirmato

Ora ricevo il messaggio di risposta:

error 20 at 0 depth lookup:unable to get local issuer certificate

E ora le mie domande:

  • È possibile che OpenSSL verifichi una catena di certificati CA intermedi a chiave pubblica con un certificato CA radice?
  • E questa è anche una legittima costellazione di certificati, se inserisco il primo e il secondo certificato in una catena?
  • Errore 20 con profondità 0 significa che OpenSSL non riesce a trovare il certificato che ha firmato il primo certificato, giusto?
  • Ma quale sarebbe il primo certificato qui? Questa sarebbe la mia chiave pubblica o sarebbe la catena della chiave pubblica e il certificato IM?
posta Jannis Kappertz 06.07.2017 - 15:23
fonte

2 risposte

0

Ho trovato un'altra buona risposta alla mia domanda in Stack Overflow. Ecco il link:

link

    
risposta data 09.07.2017 - 14:42
fonte
1

Innanzitutto, la sintassi è sbagliata. Dovrebbe essere:

openssl verify -CAfile rootcert.pem publickey_imcert_chain.pem

CAfile è rootcert.pem ...

Questo non è sicuramente il modo in cui openssl verify funziona. Devi concatenare tutti i certificati di firma intermedi fino a quello principale in un pacchetto e utilizzare quel pacchetto per verificare il servercert.pem uno:

cat imcert.pem rootcert.pem > verificator.bundle
openssl verify -CAfile verificator.bundle servercert.pem

Troverai più riferimenti ed esempi in questa domanda SO .

    
risposta data 06.07.2017 - 17:03
fonte

Leggi altre domande sui tag