Vérifier un certificat de la chaîne à l'aide d'openssl vérifier

Je suis en train de construire sa propre chaîne de certificat à la suite componentens:

Root Certificate - Intermediate Certificate - User Certificate

Racine Cert est un certificat auto-signé, Certificat Intermédiaire est signé par le Root et Utilisateur par l'Intermédiaire.

Maintenant, je veux vérifier si un Certificat Utilisateur a son point d'ancrage par le Certificat Racine.

Avec

openssl verify -verbose -CAfile RootCert.pem Intermediate.pem

la validation est ok. Dans l'étape suivante, j'ai valider l'Utilisateur Cert avec l'

openssl verify -verbose -CAfile Intermediate.pem UserCert.pem

et la validation d'erreur s'affiche 20 à 0 profondeur de recherche:impossible d'obtenir locales certificat de l'émetteur

Quel est le problème?

InformationsquelleAutor Indra | 2014-08-25
  1. 120

    De 'vérifier' documentation: "Si un certificat est constaté, qui est son propre émetteur, il est supposé être l'autorité de certification racine". En d'autres termes, l'autorité de certification racine besoins d'auto-signé pour vérifier le travail. C'est pourquoi votre deuxième commande n'a pas fonctionné.

    Essayez plutôt ceci:

    openssl verify -CAfile RootCert.pem -untrusted Intermediate.pem UserCert.pem

    Il permettra de vérifier l'ensemble de votre chaîne en une seule commande.

    • Je suis jusqu'à droit de vote de cette réponse que j'ai récemment eu à faire cela, et après avoir essayé différentes options répertoriées par man verify, j'ai trouvé que le -untrusted paramètre est correcte à utiliser lorsque vous spécifiez le certificat intermédiaire.
    • Je pense que la deuxième réponse: stackoverflow.com/a/31205833/173062 est plus précise, il passe à la chaîne de certificats à l'option-CAfile paramètre.
    • -untrusted ne vérifie pas si la chaîne de certificats est pleinement valide. Veuillez envisager de passer à la fois intermédiaire et de la racine de commande comme -CAfile que d'autres questions suggère.
    • Utilisez -non approuvé pour les Intermédiaires.pem si il est possible que le suivant se produit: mail.python.org/pipermail/cryptography-dev/2016-August/...
    • Ce n'est pas ce que l'OP a demandé, mais dans le cas où vous souhaitez vérifier auto-signé de la chaîne, puis l'utilisation du système/navigateur CA fichier au lieu de votre propre. Par exemple sur OS X avec openssl à partir de homebrew utilisation: openssl verify -CAfile /usr/local/etc/openssl/cert.pem -untrusted Intermediate.pem UserCert.pem
    InformationsquelleAutor Priyadi
  2. 39

    C'est l'un des rares emplois légitimes pour cat:

    openssl verify -verbose -CAfile <(cat Intermediate.pem RootCert.pem) UserCert.pem

    Mise à jour:

    Comme Greg Smethells points dans les commentaires, cette commande implicitement les fiducies Intermédiaires.pem. Je recommande la lecture de la première partie de le post de Greg références (la deuxième partie est plus spécifiquement sur pyOpenSSL et n'est pas adapté à cette question).

    Dans le cas où la poste s'en va, je vais citer les paragraphes importants:

    Malheureusement, un "intermédiaire" cert qui est en fait une racine auto-signé
    sera traitée comme une autorité de certification de confiance lors de l'utilisation de la commande recommandés donné
    ci-dessus:

    $ openssl verify-CAfile <(cat geotrust_global_ca.pem rogue_ca.pem)
    fake_sometechcompany_from_rogue_ca.com.pem
    fake_sometechcompany_from_rogue_ca.com.pem: OK

    Il semble openssl va arrêter la vérification de la chaîne dès qu'un certificat racine est rencontré, qui peut également être Intermédiaire.pem si elle est auto-signé. Dans ce cas RootCert.pem n'est pas considérée. Donc, assurez-vous que les Intermédiaires.pem est à venir à partir d'une source de confiance avant de compter sur la commande ci-dessus.

    • Sera-ce réellement vérifier l'intermédiaire cert contre la racine cert?
    • Il n'. Je viens de re-couru les commandes avec une chaîne que je sais, c'est correct (il sert à la production de trafic pour mon employeur), et puis de nouveau avec un autre, sans rapport avec le certificat racine. Voir la transcription de gist.
    • Merci, je me demandais à propos de l'ordre de concaténation, qui, apparemment, varie avec l'outillage.
    • AVERTISSEMENT: ne PAS utilisez cette option si Intermédiaires.pem est à tous les non fiables. Pour plus d'info lire ici: mail.python.org/pipermail/cryptography-dev/2016-August/...
    • Merci pour cette remarque, Greg. Quand j'ai donné la réponse, j'ai téléchargé la fois les racines et intermédiaires des émetteurs les pages d'accueil, de sorte que la pensée n'a pas eu lieu pour moi. J'ai mis à jour la réponse à préciser que l'intermédiaire est implictly de confiance avec cette commande.
    • downvoted parce que les intermédiaires doivent être ajoutés avec l' -untrusted option
    • Même commande fonctionne avec openssl verify -CAfile RootCert.pem -untrusted <(cat Intermediate1.pem Intermediate2.pem) UserCert.pem dans le cas de plusieurs intermédiaires non fiables.
    • ou simplement l'utiliser -untrusted option plusieurs fois. de homme Cette option peut être spécifié plus d'une fois pour inclure les certificats non fiables à partir de plusieurs fichiers. openssl verify -CAfile RootCert.pem -untrusted Intermediate1.pem -untrusted Intermediate2.pem UserCert.pem

    InformationsquelleAutor Peter
  3. 12

    Le problème, c'est que openssl -verify ne pas faire le travail.

    Comme mentionné Priyadi, openssl -verify s'arrête à la première certificat auto-signé, par conséquent, vous n'avez pas vraiment vérifier la chaîne, comme c'est souvent l'intermédiaire cert est auto-signé.

    Je suppose que vous voulez être de 101% sûr, que le certificat de fichiers sont corrects avant d'essayer de les installer dans la production de service web. Cette recette ici effectue exactement de cette pre-flight-case.

    Veuillez noter que la réponse de Pierre est correct, cependant la sortie de openssl -verify est aucune idée de ce que tout vraiment oeuvres par la suite. Oui, il peut en trouver certains problèmes, mais pas tous.

    Voici un script qui fait le travail de vérification d'un certificat de chaîne avant de l'installer dans Apache. Peut-être que cela peut être amélioré avec quelques-uns des plus mystique OpenSSL de la magie, mais je ne suis pas OpenSSL gourou et travaux suivants:

    #!/bin/bash
# This Works is placed under the terms of the Copyright Less License,
# see file COPYRIGHT.CLL.  USE AT OWN RISK, ABSOLUTELY NO WARRANTY. 
#
# COPYRIGHT.CLL can be found at http://permalink.de/tino/cll
# (CLL is CC0 as long as not covered by any Copyright)

OOPS() { echo "OOPS: $*" >&2; exit 23; }

PID=
kick() { [ -n "$PID" ] && kill "$PID" && sleep .2; PID=; }
trap 'kick' 0

serve()
{
kick
PID=
openssl s_server -key "$KEY" -cert "$CRT" "$@" -www &
PID=$!
sleep .5    # give it time to startup
}

check()
{
while read -r line
do
    case "$line" in
    'Verify return code: 0 (ok)')   return 0;;
    'Verify return code: '*)    return 1;;
#   *)  echo "::: $line :::";;
    esac
done < <(echo | openssl s_client -verify 8 -CApath /etc/ssl/certs/)
OOPS "Something failed, verification output not found!"
return 2
}

ARG="${1%.}"
KEY="$ARG.key"
CRT="$ARG.crt"
BND="$ARG.bundle"

for a in "$KEY" "$CRT" "$BND"
do
    [ -s "$a" ] || OOPS "missing $a"
done

serve
check && echo "!!! =========> CA-Bundle is not needed! <========"
echo
serve -CAfile "$BND"
check
ret=$?
kick

echo
case $ret in
0)  echo "EVERYTHING OK"
    echo "SSLCertificateKeyFile $KEY"
    echo "SSLCertificateFile    $CRT"
    echo "SSLCACertificateFile  $BND"
    ;;
*)  echo "!!! =========> something is wrong, verification failed! <======== ($ret)";;
esac

exit $ret

    Noter que la sortie après EVERYTHING OK est la configuration d'Apache, parce que les gens à l'aide de NginX ou haproxy généralement pouvez le lire et le comprendre parfaitement, trop 😉

    Il y a un GitHub Gist de ce qui pourrait avoir des mises à jour

    Les conditions préalables de ce script:

    • Vous avez l'autorité de certification de confiance de la racine des données dans /etc/ssl/certs comme d'habitude, par exemple sur Ubuntu
    • Créer un répertoire DIR où vous stockez les 3 fichiers:
      • DIR/certificate.crt qui contient le certificat
      • DIR/certificate.key qui contient la clé secrète pour votre webservice (sans phrase de passe)
      • DIR/certificate.bundle qui contient le CA-Bundle. Sur la façon de préparer le bundle, voir ci-dessous.
    • Maintenant exécuter le script: ./check DIR/certificate (ce qui suppose que le script est nommé check dans le répertoire courant)
    • Il y a un cas très improbable que le script sorties CA-Bundle is not needed. Cela signifie, que vous (lire: /etc/ssl/certs/) fait confiance au certificat de signature. Mais il est hautement improbable dans le WWW.
    • Pour ce test port 4433 doivent être utilisés sur votre poste de travail. Et mieux seulement d'exécuter ce dans un environnement sécurisé, comme il ouvre le port 4433 peu de temps pour le public, qui pourrait voir étrangères se connecte dans un environnement hostile.

    Comment créer le certificate.bundle fichier?

    Dans le WWW de la chaîne de confiance ressemble généralement à ceci:

    • certificat de confiance de /etc/ssl/certs
    • inconnu certificat intermédiaire(s), éventuellement de la croix-signé par une autre autorité de certification
    • votre certificat (certificate.crt)

    Maintenant, l'évaluation a lieu à partir du bas vers le haut, cela signifie, en premier lieu, votre certificat est lu, puis l'inconnu certificat intermédiaire est nécessaire, alors peut-être la croix de signature de certificat et ensuite /etc/ssl/certs est consulté pour trouver le bon certificat de confiance.

    Le ca-bundle doivent être réalisés dans exactement le bon traitement de commande, ce qui signifie que le premier certificat nécessaire à l' (le certificat intermédiaire qui signe le certificat) vient en premier dans le bundle. Ensuite, la croix-signature-cert est nécessaire.

    Généralement de votre autorité de certification (l'autorité qui a signé votre certificat) fournira un bon ca-bundle-fichier. Si non, vous devez choisir les certificats intermédiaires et cat ensemble dans un seul fichier (sur Unix). Sur Windows, vous pouvez simplement ouvrir un éditeur de texte (comme notepad.exe) et collez-les certificats dans le fichier, le premier nécessaires sur le dessus et en suivant les autres.

    Il y a autre chose. Les fichiers doivent être au format PEM. Certains CAs d'émission DER (binaire) format. PEM est facile à repérer: C'est l'ASCII lisible. Pour plus sur la façon de convertir quelque chose dans PEM, voir Comment faire pour convertir .crt pour .pem et suivre la route de briques jaunes.

    Exemple:

    Vous avez:

    • intermediate2.crt l'intermédiaire cert, qui a signé votre certificate.crt
    • intermediate1.crt un autre intermédiaire cert, qui a flambé intermediate2.crt
    • crossigned.crt qui est une croix de signature de certificat auprès d'une autre autorité de certification qui a signé, intermediate1.crt
    • crossintermediate.crt qui est un autre intermédiaire de l'autre autorité de certification qui a signé crossigned.crt (vous n'aurez probablement jamais voir une telle chose)

    Puis à la bonne cat devrait ressembler à ceci:

    cat intermediate2.crt intermediate1.crt crossigned.crt crossintermediate.crt > certificate.bundle

    Et comment pouvez-vous trouver les fichiers qui sont nécessaires ou pas et dans quel ordre?

    Bien, l'expérience, jusqu'à ce que le check vous dit tout est OK. C'est comme un ordinateur de jeu de puzzle à résoudre l'énigme. Tous les. Unique. Temps. Même pour les pros. Mais vous obtiendrez de meilleurs à chaque fois que vous avez besoin pour ce faire. Si vous êtes certainement pas seul avec toute la douleur. C'est le protocole SSL, ya' sais? SSL est probablement l'un des pires dessins que j'ai jamais vu en plus de 30 ans des professionnels de l'administration système. Jamais demandé pourquoi la crypto n'est pas devenu courant dans les 30 dernières années? C'est pourquoi. 'nuff said.

    • À la downvoter: Veuillez expliquer quel est le problème avec ma réponse. Merci.
    • Je suis l'un des downvoters. Ce qui a déclenché le downvote, c'est : "Et comment pouvez-vous trouver les fichiers qui sont nécessaires ou pas et dans quel ordre? Eh bien, l'expérience, jusqu'à ce que la case vous dit tout est OK". Je ne pense pas que le SSL est un cas spécial. Des problèmes comme celui-ci devrait avoir une solution déterministe.
    • Merci! Comme vous j'aime desterministic choses. La question était: "Quel est le problème" et comment le faire avec "openssl verify". Comme nous sommes sur stackoverflow, j'ai expliqué que, suivie par un programme (donc déterministe) réponse oui/non. Vous pouvez même l'utiliser pour automatiser les contrôles pour le nouveau Bundle avant de l'installer en production. Cela répond pleinement à la question. Ce que vous n'aimez pas, c'est que j'ai dit à propos de la frustration sur "Comment créer un bon paquet?". Comme je pense qu'il ne peut y avoir un court-déterministe réponse pour cela, répondez à cette serait hors de propos dans le contexte ici.
    • "Comme Priyadi mentionné, openssl -vérifier s'arrête à la première certificat auto-signé, par conséquent, vous n'avez pas vraiment vérifier la chaîne, comme c'est souvent l'intermédiaire cert est auto-signé." Évidemment certificats intermédiaires ne sont jamais auto-signé (si ils étaient ils seraient les certificats racine). Et le point de vérification consiste à vérifier que vous avez inclus tous les certificats de la chaîne, tout le chemin à un certificat racine de confiance. C'est précisément ce que la openssl vérifier le fait. Cependant, openssl a tendance à être plutôt conservateur avec ses de confiance des politiques...
    • ...ce qui provoque une certaine confusion parfois, quand les navigateurs par exemple peut faire confiance à certains des CAs intermédiaires directement ce sens que les choses peut très bien fonctionner sans la chaîne complète dans la vie réelle, mais openssl vérifier échouera.
    • "souvent, les intermédiaires cert est auto-signé". C'est faux, et la terminologie des confusions comme il est difficile pour les nouveaux arrivants à comprendre un sujet qui est en fait plutôt simple quand a expliqué dans le droit chemin. De la RFC 5280: "[...] certificats d'autorité de certification peut être divisée en trois classes: les certificats auto-émis les certificats et les certificats auto-signés. Croix-les certificats certificats d'autorité de certification dans lequel l'émetteur et l'objet sont des entités différentes. Croix-des certificats de décrire une relation de confiance entre les deux CAs. [...]".
    • Le "certificat d'autorité de certification intermédiaire" est, à l'aide de la RFC 5280 terminologie, effectivement une de la croix-certificat. Il ne peut jamais être un certificat auto-signé. Ces deux sont mutuellement exclusifs. Ref: tools.ietf.org/html/rfc5280
    • C'est une mauvaise réponse. Au lieu de ce que l'OP aurait pu le faire: vérifier que la chaîne ne fonctionne pas entre le CA et l'utilisateur cert si l'intermédiaire n'est pas inclus avec l'option -untrusted.
    • Un autre downvote: il y a déjà assez de confusion, tout en expliquant les certificats SSL, de leur validité et de la façon dont les chaînes de venir pour jouer, mais pour avoir un blantly mal "intermédiaires cert est auto-signé" instruction près le début de la réponse est trompeuse.

    InformationsquelleAutor Tino
  4. 5

    J'ai dû faire une vérification d'une letsencrypt certificat et j'ai fait comme ceci:

    1. Télécharger la racine-cert et les intermédiaires-cert de la letsencrypt chaîne de confiance: https://letsencrypt.org/certificates/
    2. tapez cette commande:

    openssl verify -CAfile letsencrypt-root-cert/isrgrootx1.pem.txt -untrusted letsencrypt-intermediate-cert/letsencryptauthorityx3.pem.txt /etc/letsencrypt/live/sitename.tld/cert.pem
    /etc/letsencrypt/live/sitename.tld/cert.pem: OK

    Espère que cela vous aide pour votre letsencrypt certs.
    Merci pour Priyadi, votre solution m'a aidé à trouver cette commande. Palease assurez-vous de upvote sa solution.

    InformationsquelleAutor Michael
  5. 3

    Après la coupure d'une journée entière sur exactement le même problème , n'ayant aucune connaissance préalable sur les certificats SSL, j'ai téléchargé le CERTivity Gestionnaire De Fichiers De Clés et importé mon fichier de clés à elle, et a obtenu une coupe à la visualisation de la chaîne de certificats.

    Capture d'écran :

    Vérifier un certificat de la chaîne à l'aide d'openssl vérifier

    • N'essayez pas de répondre à la question qui est sur la façon d'utiliser openssl verify.
    • oui mais ce genre d'outil peut vous donner le besoin de visualisation de ce genre de choses, si vous ne comprenez pas le cryptique de l'information de ligne de commande openssl outils 🙂 voici Donc ma upvote, il y a peut être des trucs qui le font ainsi.
    InformationsquelleAutor praveen.chandran
  6. -5

    Vous pouvez facilement vérifier une chaîne de certificat avec openssl. Le fullchain comprendra le CA cert donc, vous devriez voir les détails à propos de l'autorité de certification et le certificat lui-même.

    openssl x509-in fullchain.pem -text-noout

    • 1) C'est tout à fait sans aucune explication. 2) c'est une réponse à une question, le demandeur n'a pas demandé, en dehors de tout contexte.
    InformationsquelleAutor jorfus