web-dev-qa-db-fra.com

Liste de tous les certificats SSL disponibles

Mon client git prétend

error: Peer's Certificate issuer is not recognized.

Cela signifie qu'il ne peut pas trouver la clé de serveur SSL correspondante dans le trousseau de clés du système global. Je veux vérifier cela en regardant la liste de toutes les clés SSL disponibles pour tout le système sur un système gentoo linux. Comment puis-je obtenir cette liste?

39
Jonas Stein

Ce ne sont pas les clés SSL que vous voulez, ce sont les autorités de certification, et plus précisément leurs certificats.

Tu pourrais essayer:

awk -v cmd='openssl x509 -noout -subject' '
    /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt

Pour obtenir le "sujet" de chaque certificat CA dans /etc/ssl/certs/ca-certificates.crt

Attention, parfois, vous obtenez cette erreur lorsque les serveurs SSL oublient de fournir les certificats intermédiaires.

Utilisation openssl s_client -showcerts -connect the-git-server:443 pour obtenir la liste des certificats envoyés.

71
Stéphane Chazelas

Je ne suis pas sûr de Gentoo, mais la plupart des distributions mettent leurs certificats en lien logiciel dans un emplacement à l'échelle du système à /etc/ssl/certs.

  • Les fichiers clés vont dans /etc/ssl/private
  • Les fichiers réels fournis par le système se trouvent à /usr/share/ca-certificates
  • Les certificats personnalisés entrent dans /usr/local/share/ca-certificates

Chaque fois que vous placez un certificat dans l'un des chemins mentionnés ci-dessus, exécutez update-ca-certificates mettre à jour /etc/ssl/certs listes.

17
SHW

J'avais l'obligation de répertorier tous les certificats sur notre serveur et de les informer s'ils devaient expirer. Nous avons trouvé cette commande:

locate .pem | grep "\.pem$" | xargs -I{} openssl x509 -issuer -enddate -noout -in {}
3
Dwight Emmons