LINUX.ORG.RU

Как правильно проверять подлиность и действительность сертификата x509?

 , ,


1

2

Как правильно проверять подлиность и действительность сертификата x509? Например я хочу проверить SSL-сертификат сайта www.linux.org.ru
1. При помощи браузера сохраняю сертификат wwwlinuxorgru.crt
2. Иду на https://support.comodo.com/index.php?/Knowledgebase/Article/View/970/108/inte... и оттуда скачиваю сертификат удостоверяющего центра comodorsadomainvalidationsecureserverca.crt
3. Пытаюсь проверить:

openssl verify -CAfile comodorsadomainvalidationsecureserverca.crt wwwlinuxorgru.crt
wwwlinuxorgru.crt: C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
error 2 at 1 depth lookup:unable to get issuer certificate
Что я не так делаю?

★★★★★

у тебя по ссылке промежуточный сертификат, а не корневой

Harald ★★★★★ ()
Ответ на: комментарий от Harald

А как ты это определил?

$ openssl x509 -in comodorsadomainvalidationsecureserverca.crt -noout -text | grep "Subject:"
        Subject: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Domain Validation Secure Server CA
$ openssl x509 -in wwwlinuxorgru.crt -noout -text | grep "Issuer:"
        Issuer: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Domain Validation Secure Server CA
Вроде в CN одно и тоже стоит.

sunny1983 ★★★★★ ()
Последнее исправление: sunny1983 (всего исправлений: 1)
Ответ на: комментарий от sunny1983

посмотрел в браузере свойства лоровского сертификата, там один промежуточный в цепочке, который ты сейчас демонстрируешь

Harald ★★★★★ ()
Последнее исправление: Harald (всего исправлений: 1)
Ответ на: комментарий от sunny1983

В issuer и subject стоит, кто кому выдал сертификат. Организация может выдавать сертификаты сама себе, например для разных доменов.

anonymous ()
Ответ на: комментарий от sunny1983

Причём тут это?

При этом:

Вроде в CN одно и тоже стоит.

Нафига ты CN сравниваешь? CN одинаковый, а сертификаты разные.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.