主页 / server / 问题 / 832555
Accepted
not2savvy
Asked: 2017-02-15 11:53:13 +0800 CST

如何从具有多个证书的 PEM 文件中选择一个证书?

  • 772

背景信息:我正在使用 OS X 服务器,我需要使用带有 openssl smime 的密钥链中的证书来加密 bash 脚本中的消息。为此,我使用security find-certificatewith-e选项从 OS X 密钥链中提取某个电子邮件地址的证书。这很好用,但是,该命令会将针对该电子邮件地址找到的所有证书提取到 PEM 文件中。该文件甚至会包含过期的证书。

当我使用 PEM 文件进行邮件加密时openssl smime,显然只使用了 PEM 文件中的第一个证书。

所以需要做的是从PEM文件中选择过期日期最长的证书,这样我就可以用openssl使用那个证书,但是这怎么能做到呢?

openssl x509 smime

1 个回答

  1. Best Answer

    如果可以接受任何未过期的证书:

    $ # adjust filenames for your environment as desired 

$ cat <<\EOF >awkscript # only need to do this setup once
BEGIN{ cmd="openssl x509 <tempfile -checkend 0" }
/^-----BEGIN/ {f=1} 
f {print >"tempfile"} 
/^-----END/ {f=0; close("tempfile"); cmd | getline status;
  if( status ~ "not expire" ){ exit 0 }; close(cmd) }
END{ exit 1 }
EOF

$ if awk -f awkscript combinedpemfile
> then # use tempfile as cert for encryption
> else # no unexpired cert found 
> fi

    如果您特别需要最后一个到期日期,我看不到自动化日期比较的简单方法,但剩下的就是:

    $ cat <<\EOF >awkscript # again only once
BEGIN{ cmd="openssl x509 -noout -enddate" }
/^------BEGIN/ {f=1; t=""} f {t=t $0 ORS} 
/^-----END/ {f=0; out="tempcert#"(++i); print t >out; 
  printf "%s: ",out; print t | cmd; close(cmd) }
EOF

$ awk -f awkscript combinedpemfile
tempcert#1: notAfter=(expiryfor1)
tempcert#2: notAfter=(expiryfor2)
tempcert#3: notAfter=(expiryfor3)
...
$ # pick the latest expiry and use the corresponding file (and clean up)
    • 1

相关问题