主页 / server / 问题 / 645965
Accepted
hookenz
Asked: 2014-11-21 15:03:08 +0800 CST

如何手动计算我的证书链顺序?

  • 772

假设我从证书开始。

使用 openssl 我可以像这样打印出来:

openssl x509 -in cert.pem -text -noout

我会得到一些输出,例如Validity,IssuerSubject以及。Authority Key IdentifierSubject Key Identifier

我如何使用这些字段来计算链中的下一个证书?

然后,一旦我获得下一个证书,就计算出下一个证书应该是什么等。

基本上我想制定完整的链,并为 EC2 负载均衡器以正确的顺序处理事情。由于网络解决方案似乎不只是给你一个有效的捆绑包。他们为您提供个人证书,我已经尝试并尝试了许多不同的 EC2 排序,但仍然没有让它工作。我最后的赌注是尝试 openssl 并手动解决这个问题,而不是猜测。

ssl-certificate

2 个回答

  1. Best Answer

    子密钥的输出中的 将与签名X509v3 Authority Key Identifier密钥的 匹配。opensslX509v3 Subject Key Identifier

    例如,对于本网站的 SSL 证书及其父证书:

    # openssl x509 -text -noout -in subject.pem
...
        Subject: C=US, ST=NY, L=New York, O=Stack Exchange, Inc., CN=*.stackexchange.com
...
            X509v3 Authority Key Identifier:
                keyid:51:68:FF:90:AF:02:07:75:3C:CC:D9:65:64:62:A2:12:B8:59:72:3B
            X509v3 Subject Key Identifier:
                5A:C1:42:63:C2:62:13:B3:9D:94:84:AA:32:1E:17:CB:6D:A3:86:7B

# openssl x509 -text -noout -in parent.pem
...
        Subject: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert SHA2 High Assurance Server CA
...
            X509v3 Subject Key Identifier:
                51:68:FF:90:AF:02:07:75:3C:CC:D9:65:64:62:A2:12:B8:59:72:3B
            X509v3 Authority Key Identifier:
                keyid:B1:3E:C3:69:03:F8:BF:47:01:D4:98:26:1A:08:02:EF:63:64:2B:C3

    51:68:FF:90:AF:02:07:75:3C:CC:D9:65:64:62:A2:12:B8:59:72:3B是什么在子证书上建立了什么证书签署了它,您应该能够使用它来找到正确的权威证书。

    • 8

  2. 请务必注意,中间证书并非特定于您的域或证书。因此,每个颁发的与您类似的证书都具有完全相同的中间证书。

    你可以把它们想象成支票上的路由号码。路由号码是必需的,但实际上更多的是关于您的银行而不是关于您的信息。在这种情况下,您的帐号或证书对您来说是独一无二的。

    由于中间证书的通用性,有这样的网站:

    https://www.ssl2buy.com/wiki/ssl-intermediate-and-root-ca-bundle

    为不同的证书颁发者预先捆绑了所有中间证书(并以正确的顺序)。

    • 1

相关问题