Проверка соответствия x509 сертификата удостоверяющему центру (УЦ) с помощью openssl

Перед добавлением сертификата на сервера в продакшн бывает полезно проверить соответствие имеющегося сертификата и УЦ. Особенно это актуально когда УЦ является промежуточным и его так же необходимо пересылать клиенту(браузеру).

На самом деле всё более, чем очень просто. Для проверки нужна всего лишь одна команда:

openssl verify -verbose -CAfile cacert.pem mycert.crt

Где, собственно, mycert.crt — ваш сертификат, соответствие которого нужно проверить, а cacert.pem — сертификат удостоверящего центра (УЦ).

Нормальным выводом будет
mycert.crt: OK

В таком случае всё хорошо и можно не переживать. Однако такой вывод можно получить только если в файле с сертификатом УЦ присутствует полная цепочка. Если нет — возможны ошибки вроде

mycert.crt: /C=US/O=GeoTrust Inc./CN=RapidSSL SHA256 CA — G2
error 2 at 1 depth lookup:unable to get issuer certificate

Данное сообщение говорит о том, что указанный сертификат проверен и действительно подписан указанным выше УЦ, однако сам УЦ проверить не удалось ибо нет вышестоящего сертификата (цепочка не полная)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *