openssl verify - 단일 결합 인증서 번들 파일을 확인하는 방법

나는 브라우저 기반 관리 인터페이스를 사용하는 제품을 유지/개선합니다. 우리는 파티에 늦었고 이제 브라우저와 백엔드 사이에서 HTTPS를 지원하려고 합니다(Apache httpd는 Tomcat 앞에 있으며 모두 Linux에서 실행됩니다).

그래서... 저는 새로운 영역을 탐색 중입니다. 그 중 하나는 인증 기관에서 얻은 인증서를 다루는 것입니다.

테스트/교육 목적으로 CA로부터 자체 인증서를 받았습니다. CA에 CSR을 제공했고 그 대가로 다음 두 가지를 받았습니다.

1. server.crt 및
2. middles.crt(적어도 하나 이상 포함된 파일 - 아마도 그 이상? - 중간 인증서)

IIUC 두 파일 모두 Apache에 설치되어야 합니다. 하지만 우리 제품과 함께 제공되는 Apache는 더 새로운 버전이기 때문에 (httpd.conf 지시어를 읽어보세요)SSL 인증서 체인 파일'는 버전 2.4.8 이후 제거되었으므로 CA의 두 파일은 아래와 같이 하나의 파일로 병합되어야 합니다(Apache를 사용하여 'SSL 인증서 파일'는 파일을 가리킵니다):

cat server.crt intermediates.crt > combined.crt

좋아요 아파치는 행복합니다.

내가 가진 문제는 "combined.crt" 파일의 정확성을 확인하는 방법입니다. 이 파일은 사용자가 생성하고 사용자가 혼란을 겪게 되므로 파일에 대한 유효성 검사를 수행하고 싶습니다. FWIW... 우리 제품은 사용자로부터 Linux를 완전히 숨깁니다. 사용자는 Linux 명령 프롬프트, 루트 등에 액세스할 수 없습니다. 당사 제품을 관리하기 위한 사용자의 모든 작업은 당사 제품의 프런트 엔드 인터페이스를 통해 수행됩니다. 따라서 사용자가 Linux 프롬프트를 입력하는 것과 관련된 답변은 작동하지 않습니다.

CA에서 제공한 파일에서 생성된 사용자 입력 "combined.crt"의 유효성을 검사하기 위해 "openssl"을 사용할 수 있는 방법을 찾을 수 없습니다.

1. 인증서가 포함되어 있고 혼란스러운 사용자의 임의의 쓰레기가 아닌 경우
2. 파일에 포함된 인증서가 실제로 유효한 인증서 체인을 형성하는지 확인하십시오. 즉, 파일의 인증서가 올바른 순서로 되어 있는지 확인하십시오.

내가 원하는 것을 수행하는 것이 가능하다는 것을 알고 있지만 openssl verify ...이를 작동하게 하는 유일한 방법은 두 CA에서 별도로 제공하는 파일을 지정하는 것입니다...

openssl verify -CAfile intermediates.crt server.crt

사용자가 이 두 파일을 별도로 제공하도록 인터페이스를 디자인할 수 있을 것 같습니다. 사용자가 텍스트 편집기를 사용하여 두 파일을 올바른 순서로 결합하기를 기대하는 대신 이 작업을 수행하게 될 수도 있습니다(나에게는 더 많은 작업이 필요하지만 사용자에게는 더 쉽고 안전합니다). 하지만 이 시점에서는 - 맙소사 - 이제 그것은 나에게 학습 연습에 더 가깝습니다. Apache가 요구하는 것처럼 단일 인증서 파일의 유효성을 검사하기 위해 "openssl"을 얻을 수 있는 방법이 있는 것 같습니다...?

어떤 안내에도 감사드립니다.