আমি এখানে সংরক্ষিত আরএসএ কী, সিএ-বান্ডেল এবং শংসাপত্রটি যাচাই / যাচাই করার চেষ্টা করছি। এগুলি ওয়েব সার্ভার দ্বারা সরবরাহ করা হচ্ছে না। আমি কীভাবে সেগুলি যাচাই করতে পারি?
উত্তর:
ধরে নিই যে আপনার শংসাপত্রগুলি PEM ফর্ম্যাটে রয়েছে, আপনি এটি করতে পারেন:
openssl verify cert.pem
আপনার "সিএ-বান্ডেল" যদি পিইএম ফর্ম্যাটে অতিরিক্ত অন্তর্বর্তী শংসাপত্রযুক্ত একটি ফাইল হয়:
openssl verify -untrusted ca-bundle cert.pem
যদি আপনার ওপেনসেলটি স্বয়ংক্রিয়ভাবে রুট শংসাপত্রগুলির একটি ইনস্টলড সেট (উদাহরণস্বরূপ /etc/ssl/certs) ব্যবহার করতে সেট আপ না করা থাকে তবে আপনি CA ব্যবহার করতে -CApathবা -CAfileনির্দিষ্ট করতে পারেন।
-CApath nosuchdirতবে সার্ভার.সিআরটি এবং ক্যাসের্ট.পিএম এর সংমিশ্রণে অবশ্যই মূল সিএ অন্তর্ভুক্ত করতে হবে; যদি ওপেনসেল কেবলমাত্র সেই ফাইলগুলির সাথে একটি মধ্যবর্তী সিএ পর্যন্ত কাজ করতে পারে তবে এটি অভিযোগ করবে।
/certs/। এটি কি সমস্যার সৃষ্টি করবে? কারণ আমার সার্ভার যেখানে কাজ করে সেখানে স্ট্যাক করা হয়, এইচটিপি কার্ল কাজ করে তবে https .. কার্ল ত্রুটি পায়। যেখানে ওয়েবসাইট কাজ বন্ধ করে দিয়েছে।
শংসাপত্র শৃঙ্খলা যাচাই করার জন্য এখানে এক-লাইনার রয়েছে:
openssl verify -verbose -x509_strict -CAfile ca.pem -CApath nosuchdir cert_chain.pem
এর জন্য কোথাও সিএ ইনস্টল করার দরকার নেই।
বিশদ জানতে https://stackoverflow.com/questions/20409534/how-does-an-ssl-certificate-chain-bundle-work দেখুন ।
-CApath nosuchdirউত্তরটি যুক্ত করেছি। ধন্যবাদ.
-CAfileকেবল একটি অন্তর্বর্তী শংসাপত্র হয় তবে ওপেনসেল অভিযোগ করবে। এটি সঠিক আচরণ, যেহেতু verifyমূল সিএ পর্যন্ত পুরো শৃঙ্খলার প্রয়োজন, তবে এটি বিভ্রান্তিকর হতে পারে।
OpenSSL 1.1.1 11 Sep 2018) -CApathএকটি বিদ্যমান ডিরেক্টরি হতে যুক্তি প্রয়োজন ।
openssl x509ম্যানুয়াল অধ্যায়।