Extrahieren der Stammzertifizierungsstelle und der untergeordneten Zertifizierungsstelle aus einer Zertifikatkette unter Linux

Ich habe ein End-Entity / Server-Zertifikat, das ein Zwischen- und Root-Zertifikat hat. Wenn ich catauf dem Endentitätszertifikat bin, sehe ich nur ein einzelnes BEGINund ein ENDTag. Es ist das einzige Endgerätezertifikat.

Kann ich den Inhalt des Zwischenzertifikats und des Stammzertifikats auf irgendeine Weise anzeigen? Ich brauche nur den Inhalt von BEGINund ENDtag.

In Windows kann ich die vollständige Zertifizierungskette aus dem "Zertifizierungspfad" sehen. Unten sehen Sie das Beispiel für das Zertifikat von Stack Exchange.

Von dort aus kann ich ein Zertifikat anzeigen und exportieren. Ich kann das sowohl für root als auch für Intermediate unter Windows tun. Ich suche nach der gleichen Methode in Linux.

Auf einer Website können Sie Folgendes tun:

openssl s_client -showcerts -verify 5 -connect stackexchange.com:443 < /dev/null

Daraufhin werden die Zertifikatskette und alle vom Server präsentierten Zertifikate angezeigt.

Wenn ich diese beiden Zertifikate in Dateien speichere, kann ich Folgendes verwenden openssl verify:

$ openssl verify -show_chain -untrusted dc-sha2.crt se.crt 
se.crt: OK
Chain:
depth=0: C = US, ST = NY, L = New York, O = "Stack Exchange, Inc.", CN = *.stackexchange.com (untrusted)
depth=1: C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA (untrusted)
depth=2: C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV Root CA

Mit dieser -untrustedOption werden die Zwischenzertifikate ausgegeben. se.crtist das zu überprüfende Zertifikat. Das Ergebnis depth = 2 stammt aus dem vertrauenswürdigen CA-Speicher des Systems.

Wenn Sie nicht über die Zwischenzertifikate verfügen, können Sie die Überprüfung nicht durchführen. So funktioniert X.509.

Abhängig vom Zertifikat kann es einen URI enthalten, von dem das Zwischenprodukt abgerufen werden kann. Als Beispiel openssl x509 -in se.crt -noout -textenthält:

        Authority Information Access: 
            OCSP - URI:http://ocsp.digicert.com
            CA Issuers - URI:http://cacerts.digicert.com/DigiCertSHA2HighAssuranceServerCA.crt

Dieser URI "CA Issuers" verweist auf das Zwischenzertifikat (im DER-Format, sodass Sie openssl x509 -inform der -in DigiCertSHA2HighAssuranceServerCA.crt -out DigiCertSHA2HighAssuranceServerCA.pemes zur weiteren Verwendung durch OpenSSL konvertieren müssen).

Wenn Sie ausführen, erhalten openssl x509 -in /tmp/DigiCertSHA2HighAssuranceServerCA.pem -noout -issuer_hashSie 244b5494, nach was Sie im Stammzertifizierungsstellenspeicher des Systems suchen können /etc/ssl/certs/244b5494.0(fügen Sie einfach .0den Namen hinzu).

Ich glaube nicht, dass es einen netten, einfachen OpenSSL-Befehl gibt, der das alles für Sie erledigt.

tl; dr - Ein-Liner-Bash-Zauber, um alle Zertifikate in der Kette abzulegen

openssl s_client -showcerts -verify 5 -connect de.wikipedia.org:443 < /dev/null | awk '/BEGIN/,/END/{ if(/BEGIN/){a++}; out="cert"a".crt"; print >out}' && for cert in *.crt; do newname=$(openssl x509 -noout -subject -in $cert | sed -n 's/^.*CN=\(.*\)$/\1/; s/[ ,.*]/_/g; s/__/_/g; s/^_//g;p').pem; mv $cert $newname; done

Erklärung in 2 Schritten

So legen Sie alle Zertifikate in der Kette in das aktuelle Verzeichnis ab cert${chain_number}.pem:

openssl s_client -showcerts -verify 5 -connect your_host:443 < /dev/null | awk '/BEGIN/,/END/{ if(/BEGIN/){a++}; out="cert"a".pem"; print >out}' 

Bonus-Track, um sie in ihren gemeinsamen Namen umzubenennen:

for cert in *.pem; do newname=$(openssl x509 -noout -subject -in $cert | sed -n 's/^.*CN=\(.*\)$/\1/; s/[ ,.*]/_/g; s/__/_/g; s/^_//g;p').pem; mv $cert $newname; done