এসএসএল প্রোটোকলের সিএ অজানা হওয়ার জন্য সত্যই একটি সতর্কতা কোড রয়েছে ... আপনি মনে করি tshark এর মতো কিছু ব্যবহার করে আপনি এটি সনাক্ত করতে পারেন।
তবে আরও কার্যকরভাবে সমস্যাটি কীভাবে এড়াতে হবে তা জেনে রাখা। অ্যাপাচে, আপনার নিম্নলিখিত তিনটি নির্দেশনা রয়েছে তা নিশ্চিত করুন:
SSLCertificateFile /etc/pki/tls/certs/myserver.cert
SSLCertificateKeyFile /etc/pki/tls/private/myserver.key
SSLCertificateChainFile /etc/pki/tls/certs/myserver.ca-bundle
ফাইলের নামগুলিতে প্রদত্ত এক্সটেনশনগুলি আপাচে আসলেই কিছু আসে যায় না। এই ক্ষেত্রে, এসএসএল সার্টিফিটফিলটি সার্ভারের সাবজেক্টের সাথে একক এক্স.509 শংসাপত্র হবে এবং এসএসএল সার্টিফিকেট চেইনফিল ইন্টারমিডিয়েট এবং রুট সিএ শংসাপত্রের একটি সংক্ষিপ্তকরণ হবে (প্রথমটি মূলের সাথে শুরু করে)।
পিইএম এনকোডিংয়ে শংসাপত্র চেইনগুলি অন্বেষণ করতে সহায়তা করার জন্য এখানে একটি দরকারী স্ক্রিপ্ট।
#!/bin/bash
#
# For an input of concatenated PEM ("rfc style") certificates, and a
# command-line consisting of a command to run, run the command over each PEM
# certificate in the file. Typically the command would be something like
# 'openssl x509 -subject -issuer'.
#
# Example:
#
# ssl-rfc-xargs openssl x509 -subject -issuer -validity -modulus -noout < mynewcert.pem
#
sed -e 's/^[ \t]*<ds:X509Certificate>\(.*\)$/-----BEGIN CERTIFICATE-----\n\1/' \
-e 's/^[ \t]*<\/ds:X509Certificate>[ \t]*$/-----END CERTIFICATE-----\n/' \
-e 's/^\(.*\)<\/ds:X509Certificate>[ \t]*$/\1\n-----END CERTIFICATE-----\n/' \
| gawk -vcommand="$*" '
/^-----BEGIN /,/^-----END / {
print |& command
}
/^-----END / {
while ((command |& getline results) > 0) {
print results
}
close(command)
}
'
(এই নির্দিষ্ট স্ক্রিপ্টটি কোনও নির্দিষ্ট এক্সএমএল অ্যাপ্লিকেশনের জন্যও ব্যবহৃত হয়, যা শুরুর কাছাকাছি থাকা সেড বিটগুলি সমর্থন বোঝাতে বোঝায়; আকর্ষণীয় বিটগুলি গাওয়াক দ্বারা করা হয়))
আপনি এটি কীভাবে ব্যবহার করতে পারেন তার একটি উদাহরণ এখানে রয়েছে (যেমন সিএ বান্ডলে শংসাপত্রগুলি নির্ধারণ করতে সঠিক ক্রমে থাকে - কখনও কখনও এটি গুরুত্বপূর্ণ)
$ openssl s_client -connect google.com:443 -showcerts </dev/null 2>&1 | ssl-rfc-xargs openssl x509 -subject -issuer -noout
subject= /C=US/ST=California/L=Mountain View/O=Google Inc/CN=google.com
issuer= /C=US/O=Google Inc/CN=Google Internet Authority G2
subject= /C=US/O=Google Inc/CN=Google Internet Authority G2
issuer= /C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
subject= /C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
issuer= /C=US/O=Equifax/OU=Equifax Secure Certificate Authority
লক্ষ্য করুন যে কীভাবে একটিতে একটি শংসাপত্র জারিকারী পিতামাতার বিষয় সংলগ্ন হয় [অবিলম্বে নীচে]
স্থানীয় ফাইলটি পরিদর্শন করতে আপনি কীভাবে সেই স্ক্রিপ্টটি ব্যবহার করতে পারেন তার আরেকটি উদাহরণ এখানে।
$ < /etc/pki/tls/certs/example.ca-bundle ssl-rfc-xargs openssl x509 -subject -issuer -noout