[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Comprovar signatura de certificat x509



El Wed, Dec 27, 2023 at 08:28:01PM +0100, Narcis Garcia deia:
> Bones i festives, per qui pugui.
> 
> Vaig crear un certificat auto-signat (clau privada i clau pública), com a
> «Autoritat de Certificació» (CA), per a poder generar els meus certificats
> signats amb openssl:
> 
> /etc/ssl/private/CA@CA.key
> /etc/ssl/certs/CA@CA.pem
> 
> Aleshores he creat certificats signats per la CA com:
> /etc/ssl/private/Un.key
> /etc/ssl/certs/Un.pem
> /etc/ssl/private/Dos.key
> /etc/ssl/certs/Dos.pem
> 
> El què passa és que tot això ho vaig fer de forma caòtica i ara em sembla
> que accidentalment vaig crear diferents CA i tot plegat ha perdut
> coherència.
> 
> Algú sap com verificar, per línia de comandes, que un certificat d'usuari ha
> estat signat amb determinada clau d'autoritat?
> 
> Un exemple imaginari:
> $ openssl --verifica-signatura /etc/ssl/certs/CA@CA.pem
> /etc/ssl/certs/Un.pem
> 
> He cercat per Intenret, i trobo explicacions de què es treuen uns bits del
> «Un.pem» i es comparen amb uns altres bits del CA@CA.pem i em perdo.
> 
> Gràcies.
> 

de memòria diria que era

openssl verify -CAfile /etc/ssl/certs/CA@CA.pem /etc/ssl/certs/Un.pem

on amb -CAfile  la concatenació de els PEMs dels certificats de les CAs
intermitges si n'hi ha i la CA arrel.

Alternativament li pots passar un CApath amb un directori on hi hagi
certificats de CAs,

si no, man openssl-verify


Reply to: