Re: Eigene CA unter Debian
On Sat, Apr 22, 2017 at 02:33:42PM +0200, Matthias Taube wrote:
> Nun dachte ich, ich könnte chain-Zertifikate mittels
> >cat meinserver.cert.pem ca_intermediate.cert.pem >meinserver.chain.pem
>
> erzeugen und diese könnten dann automatisch mittels
> > openssl verify meinserver.chain.pem
> geprüft werden.
openssl verify -CAfile <rootZert> -untrusted <Intermed> <Server>
wobei "openssl verify" anscheinend implizit immer /etc/ssl/certs/
als CApath nutzt, sofern nicht explizit CApath angegeben wird.
> Wie funktioniert das bei den anderen, schon vorinstallierten CA? Dort sind
> doch auch nur die Root-Zertifikate in /etc/ssl/certs und die
> intermediate-Zertifikate sind jeweils in der Chain des Zertifikates drin.
Richtig, lokal werden nur die Root-Zertifikate benötigt. Das Intermediate-
Zertifikat liefert der Server zusammen mit seinem Zertifikat aus.
--
Stefan Tichy ( dlist at pi4tel dot de )
Reply to: