我正在使用OpenSSL,需要一个理智的默认CA列表.我正在使用Mozilla的可信CA列表,如
bundled by cURL.但是,我需要拆分此CA证书捆绑包,因为
OpenSSL documentation says:
If CApath is not NULL,it points to a directory containing CA certificates in PEM format. The files each contain one CA certificate. The files are looked up by the CA subject name hash value,which must hence be available.
例如,使用ca-bundle.crt文件直接工作正常:
openssl-1.0.1g> ./apps/openssl s_client -connect www.google.com:443 -CAfile /home/user/certs/ca-bundle.crt
...
Verify return code: 0 (ok)
---
DONE
但指定包含ca-bundle.crt文件的目录不起作用:
openssl-1.0.1g> ./apps/openssl s_client -connect www.google.com:443 -CApath /opt/aspera/certs
Verify return code: 20 (unable to get local issuer certificate)
---
DONE
我认为这是因为我的文件夹不符合文档要求的内容(即包含PEM格式的CA证书的目录,每个文件包含一个证书,由哈希值命名).我的目录只有一捆证书.
如何拆分我的证书包以遵守OpenSSL的请求,即每个证书都在一个单独的文件中?如果也可以进行散列,则可以获得奖励(如果需要的话,如果所有证书都在单个文件中,我可以编写一个脚本来自己完成).
解决方法
你可以在适当的目录中使用awk拆分包,如下所示:
awk 'BEGIN {c=0;} /BEGIN CERT/{c++} { print > "cert." c ".pem"}' < ca-bundle.pem
然后,通过运行OpenSSL附带的c_rehash实用程序来创建OpenSSL想要的链接:
c_rehash .
注意:在非Linux平台上使用’gawk’ – 如上所述依赖于GNU特定功能.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
