Convalida una catena di certificati senza ID chiave soggetto x509v3

1

Lavoro per una società di hosting e al momento non offriamo servizi di firma dei certificati, quindi dobbiamo accettare certificati di terze parti da clienti non tecnici. Sto provando a creare uno strumento per verificare che le chiavi, i certificati e i prodotti intermedi forniti siano corretti e comprendano una catena completa per tornare a un certificato di base.

La mia soluzione corrente è:

  1. Verifica che il modulo della chiave privata corrisponda a quello del certificato.
  2. Abbina gli ID chiave soggetto sulla catena fino a quando non tocchi un Certficato di root.

Tuttavia, mi sono imbattuto in alcuni antichi certificati radice che non hanno ID chiave, o campi x509v3. Qual è il modo corretto per controllare la catena senza utilizzare le estensioni v3? Abbinare CN dell'emittente con l'oggetto CN e poi ...?

    
posta Sammitch 16.10.2015 - 22:26
fonte

1 risposta

0

Ho scoperto che ho fatto un sacco di lavoro reinventando la ruota.

openssl verify -CAfile CA_bundle.crt somedomain.crt
    
risposta data 17.10.2015 - 02:09
fonte

Leggi altre domande sui tag