使用openssl验证验证证书链

问题是，openssl-verify不起作用。

正如Priyadi所提到的，openssl验证在第一个自签名证书处停止，因此您不会真正验证链，因为中间证书通常是自签名的。

我假设您希望在尝试将证书文件安装到生产性web服务中之前，有101%的把握证书文件是正确的。这里的配方正好执行飞行前检查。

请注意，Peter的回答是正确的，但是，openssl-verify的输出并不能表明以后一切都正常工作。是的，它可能会发现一些问题，但不是全部。

下面是一个脚本，它在您将证书链安装到Apache之前验证证书链。也许这可以通过一些更神秘的OpenSSL魔法来增强，但我不是OpenSSL大师，我的工作如下：

#!/bin/bash
# This Works is placed under the terms of the Copyright Less License,
# see file COPYRIGHT.CLL.  USE AT OWN RISK, ABSOLUTELY NO WARRANTY. 
#
# COPYRIGHT.CLL can be found at http://permalink.de/tino/cll
# (CLL is CC0 as long as not covered by any Copyright)

OOPS() { echo "OOPS: $*" >&2; exit 23; }

PID=
kick() { [ -n "$PID" ] && kill "$PID" && sleep .2; PID=; }
trap 'kick' 0

serve()
{
kick
PID=
openssl s_server -key "$KEY" -cert "$CRT" "$@" -www &
PID=$!
sleep .5    # give it time to startup
}

check()
{
while read -r line
do
    case "$line" in
    'Verify return code: 0 (ok)')   return 0;;
    'Verify return code: '*)    return 1;;
#   *)  echo "::: $line :::";;
    esac
done < <(echo | openssl s_client -verify 8 -CApath /etc/ssl/certs/)
OOPS "Something failed, verification output not found!"
return 2
}

ARG="${1%.}"
KEY="$ARG.key"
CRT="$ARG.crt"
BND="$ARG.bundle"

for a in "$KEY" "$CRT" "$BND"
do
    [ -s "$a" ] || OOPS "missing $a"
done

serve
check && echo "!!! =========> CA-Bundle is not needed! <========"
echo
serve -CAfile "$BND"
check
ret=$?
kick

echo
case $ret in
0)  echo "EVERYTHING OK"
    echo "SSLCertificateKeyFile $KEY"
    echo "SSLCertificateFile    $CRT"
    echo "SSLCACertificateFile  $BND"
    ;;
*)  echo "!!! =========> something is wrong, verification failed! <======== ($ret)";;
esac

exit $ret

请注意，EVERYTHING OK之后的输出是Apache设置，因为使用NginX或haproxy的人通常也能很好地阅读和理解这一设置；）

这是一个GitHub Gist，可能有一些更新

此脚本的先决条件：

• 你有可信的CA根数据在/etc/ssl/certs像往常一样，例如在Ubuntu
• 创建一个目录DIR，其中存储3个文件：
  • DIR/certificate.crt其中包含证书
  • DIR/certificate.key其中包含Web服务的密钥（没有密码）
  • DIR/certificate.bundle其中包含CA-Bundle。关于如何准备捆绑包，见下文。

  如何创建证书.bundle文件？

  在WWW中，信任链通常如下所示：

  • 来自/etc/ssl/certs

  现在，评估从下到上进行，这意味着，首先读取您的证书，然后需要未知的中间证书，然后可能需要交叉签名证书，然后查询/etc/ssl/certs，以找到适当的受信任证书。

  ca捆绑包必须严格按照正确的处理顺序组成，这意味着，第一个需要的证书（签署证书的中间证书）在捆绑包中首先出现。然后需要交叉签名证书。

  通常您的CA（签署证书的机构）已经提供了这样一个适当的ca-bundle文件。如果没有，您需要选择所有需要的中间证书，并将它们合并到一个文件中（在Unix上）。在Windows上，您只需打开一个文本编辑器（如notepad.exe）并将证书粘贴到文件中，第一个需要在上面，然后在其他后面。

  还有一件事。这些文件需要采用PEM格式。一些CA发布DER（二进制）格式。PEM很容易识别：它是ASCII可读的。有关如何将某物转换为PEM的mor，请参阅如何将.crt转换为.PEM，然后沿着黄砖路走。

  例子：

  你有：

  • intermediate2.crt签署您的证书的中间证书。crt

  然后适当的cat看起来像这样：

  cat intermediate2.crt intermediate1.crt crossigned.crt crossintermediate.crt > certificate.bundle
  

  你怎样才能知道哪些文件是需要的，哪些文件是不需要的，哪些文件的顺序是什么？

  好吧，进行实验，直到检查告诉你一切正常。它就像一个电脑益智游戏来解开谜语。每一个仅有一个的时间即使是职业选手。但是每次你需要这样做的时候，你都会变得更好。因此，你肯定不是唯一一个承受所有痛苦的人。这是SSL，你知道吗？SSL可能是我在30多年的专业系统管理中见过的最糟糕的设计之一。有没有想过为什么加密技术在过去30年里没有成为主流？这就是为什么。”努夫说。

这是猫为数不多的合法工作之一：

openssl verify -verbose -CAfile <(cat Intermediate.pem RootCert.pem) UserCert.pem

更新：

正如格雷格·斯梅塞尔在评论中指出的，这个命令隐含地信任我ntermediate.pem.我建议阅读后格雷格引用的第一部分（第二部分是专门关于pyOpenSSL的，与这个问题无关）。

如果帖子消失了，我将引用以下重要段落：

不幸的是，当使用上面给出的推荐命令时，实际上是根/自签名的“中间”证书将被视为可信的证书：

验证文件

似乎一旦遇到根证书，openssl就会停止验证链，如果是自签名的，也可能是Intermediate.pem。在这种情况下，不考虑RootCert.pem。因此，在依赖上述命令之前，请确保Intermediate.pem来自受信任的源。

从验证文档：

如果发现一个证书是它自己的颁发者，则假定它是根CA。

换句话说，根CA需要自我签名才能验证工作。这就是为什么你的第二个命令不起作用。试试这个吧：

openssl verify -CAfile RootCert.pem -untrusted Intermediate.pem UserCert.pem

它将在一个命令中验证您的整个链。