Когда сервер имеет несколько сертификатов, какой сертификат имеет открытый ключ? - PullRequest
Новая
       7

Когда сервер имеет несколько сертификатов, какой сертификат имеет открытый ключ?

0 голосов
/ 14 сентября 2018

Я хотел бы иметь открытый ключ сервера.Команда, управляющая сервером, сказала мне, что я могу извлечь сертификаты, используя openssl, например, с помощью команды 

openssl s_client -connect hostAddress.org:443 -showcerts

, и этот сертификат будет иметь открытый ключ.

Используя приведенную выше команду, я получаю 3 сертификата.Полный вывод команды: 

depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Assured ID Root CA
verify error:num=19:self signed certificate in certificate chain
---
Certificate chain
 0 s:/C=CZ/L=Praha/O=CESNET/CN=hostAddress
   i:/C=NL/ST=Noord-Holland/L=Amsterdam/O=TERENA/CN=TERENA SSL CA 3
-----BEGIN CERTIFICATE-----
      SOME TEXT 
-----END CERTIFICATE-----
 1 s:/C=NL/ST=Noord-Holland/L=Amsterdam/O=TERENA/CN=TERENA SSL CA 3
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Assured ID Root CA
-----BEGIN CERTIFICATE-----
      SOME TEXT
-----END CERTIFICATE-----
 2 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Assured ID Root CA
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Assured ID Root CA
-----BEGIN CERTIFICATE-----
       SOME TEXT
-----END CERTIFICATE-------
Server certificate
subject=/C=CZ/L=Praha/O=CESNET/CN=hostAddress
issuer=/C=NL/ST=Noord-Holland/L=Amsterdam/O=TERENA/CN=TERENA SSL CA 3
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 5097 bytes and written 489 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-SHA384
    Session-ID: 5B9A6ACCEFE2608E33AEE1FAF8F3136A7C41D081416F885613A0C48A4D9556CD
    Session-ID-ctx:
    Master-Key: 83D7239981A232F1AB175F2F4980B1D6B7B1D4109878022A8FE8B3D2CD95F14D33AB2112E5F27CD1D508CE3D5EE34854
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1536846540
    Timeout   : 300 (sec)
    Verify return code: 19 (self signed certificate in certificate chain)

Из этих 3 сертификатов, как узнать, какой из них имеет открытый ключ для хоста?

1 Ответ

0 голосов
/ 14 сентября 2018

Сертификат с меткой 0 является сертификатом сервера. Сертификат, помеченный как 1, является сертификатом для центра сертификации (CA), который выдал сертификат сервера (и т. Д.) До последнего (несколько стандартного «2»), который является корневым сертификатом, где «о, я доверься этому "было установлено.

Итак, вы ищете первый.

...