как s_client представляет цепочку сертификатов клиента

Question

Я пытаюсь проверить, правильно ли работают мои сертификаты и серверные сертификаты, используя openssl s_client.

openssl s_client -cert mycert -key mykey -CAfile CA.cert -connect host:name

Но этот инструмент позволяет вам представить только мой сертификат, а не всю цепочку.Если сервер доверяет только корневому ЦС, а не всем промежуточным ЦС, эта команда не будет выполнена.

Кто-нибудь знает, как обойти эту проблему, т. Е. Как представить всю цепочку сертификатов клиента серверу

Также, есть ли команда, которая может проверить ssl-соединение с хранилищем ключей java и хранилищем доверенных сертификатов?

Answer 1

-CAfile может содержать более одного сертификата, если вы используете файл PEM. Просто скопируйте и вставьте корневой сертификат плюс любые промежуточные сертификаты в этот файл, тогда s_client правильно представит всю цепочку вместо только сертификата конечного объекта.

Я не знаю инструмента командной строки для тестирования SSL-соединений с Java, но не так сложно написать свой собственный, используя Http (s) URLConnection и пользовательский SSLSocketFactory.

Answer 2

Вы можете использовать SSH Secure Shell из здесь в качестве инструмента командной строки для тестирования SSL-соединений с Java.