내 자식 클라이언트 주장
error: Peer's Certificate issuer is not recognized.
이는 전역 시스템 키링에서 해당 SSL 서버 키를 찾을 수 없음을 의미합니다. 이것을 보면서 확인하고 싶습니다.시스템 전체에서 사용 가능한 모든 SSL 키 목록젠투 리눅스 시스템에서. 이 목록을 어떻게 얻을 수 있나요?
답변1
당신이 원하는 것은 SSL 키가 아니라 인증 기관, 더 정확하게는 인증서입니다.
당신은 시도 할 수 있습니다:
awk -v cmd='openssl x509 -noout -subject' '
/BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt
각 CA 인증서의 "주제"를 가져옵니다. 이는 단일 인증서 블록을 읽은 후 종료되지만 다음 호출에서 다시 시작되기 /etc/ssl/certs/ca-certificates.crt
때문에 작동합니다 .openssl
awk
openssl
print | cmd
SSL 서버가 중간 인증서 제공을 잊어버린 경우 이 오류가 발생하는 경우가 있습니다.
openssl s_client -showcerts -connect the-git-server:443
전송되는 인증서 목록을 가져오는 데 사용됩니다 .
인증서 번들의 경로 이름은 운영 체제에 따라 다를 수 있습니다. 하위 디렉토리를 포함하는 디렉토리는 certs
명령으로 제공됩니다 openssl version -d
. 이 디렉터리의 실제 인증서 파일은 추가로 다른 이름을 가질 수도 있습니다.
답변2
Gentoo는 확실하지 않지만 대부분의 배포판은 인증서 소프트 링크를 시스템 전체 위치, 즉 /etc/ssl/certs
.
- 주요 서류를 입력하세요
/etc/ssl/private
- 시스템에서 제공하는 실제 파일은 다음 위치에 있습니다.
/usr/share/ca-certificates
- 사용자 정의 인증서 항목
/usr/local/share/ca-certificates
위 경로 중 하나에 인증서를 넣을 때마다 실행하여 목록을 update-ca-certificates
업데이트하세요 ./etc/ssl/certs
답변3
서버에 있는 모든 인증서를 나열하고 만료된 경우 이를 알려야 합니다. 우리는 다음 명령을 내놓았습니다.
locate .pem | grep "\.pem$" | xargs -I{} openssl x509 -issuer -enddate -noout -in {}
답변4
다른 하나는 이렇습니다.
openssl crl2pkcs7 -nocrl -certfile /etc/ssl/certs/ca-certificates.crt | openssl pkcs7 -print_certs -noout | grep subject