Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Comprovar signatura de certificat x509
0 views
Skip to first unread message
Narcis Garcia
Dec 27, 2023, 2:40:05 PM12/27/23
to
Bones i festives, per qui pugui.
Vaig crear un certificat auto-signat (clau privada i clau pública), com
a «Autoritat de Certificació» (CA), per a poder generar els meus
certificats signats amb openssl:
/etc/ssl/private/C...@CA.key
/etc/ssl/certs/C...@CA.pem
Aleshores he creat certificats signats per la CA com:
/etc/ssl/private/Un.key
/etc/ssl/certs/Un.pem
/etc/ssl/private/Dos.key
/etc/ssl/certs/Dos.pem
El què passa és que tot això ho vaig fer de forma caòtica i ara em
sembla que accidentalment vaig crear diferents CA i tot plegat ha perdut
coherència.
Algú sap com verificar, per línia de comandes, que un certificat
d'usuari ha estat signat amb determinada clau d'autoritat?
Un exemple imaginari:
$ openssl --verifica-signatura /etc/ssl/certs/C...@CA.pem
/etc/ssl/certs/Un.pem
He cercat per Intenret, i trobo explicacions de què es treuen uns bits
del «Un.pem» i es comparen amb uns altres bits del C...@CA.pem i em perdo.
Gràcies.
--
Narcis Garcia
__________
I'm using this dedicated address because personal addresses aren't
masked enough at this mail public archive. Public archive administrator
should remove and omit any @, dot and mailto combinations against
automated addresses collectors.
Vaig crear un certificat auto-signat (clau privada i clau pública), com
a «Autoritat de Certificació» (CA), per a poder generar els meus
certificats signats amb openssl:
/etc/ssl/private/C...@CA.key
/etc/ssl/certs/C...@CA.pem
Aleshores he creat certificats signats per la CA com:
/etc/ssl/private/Un.key
/etc/ssl/certs/Un.pem
/etc/ssl/private/Dos.key
/etc/ssl/certs/Dos.pem
El què passa és que tot això ho vaig fer de forma caòtica i ara em
sembla que accidentalment vaig crear diferents CA i tot plegat ha perdut
coherència.
Algú sap com verificar, per línia de comandes, que un certificat
d'usuari ha estat signat amb determinada clau d'autoritat?
Un exemple imaginari:
$ openssl --verifica-signatura /etc/ssl/certs/C...@CA.pem
/etc/ssl/certs/Un.pem
He cercat per Intenret, i trobo explicacions de què es treuen uns bits
del «Un.pem» i es comparen amb uns altres bits del C...@CA.pem i em perdo.
Gràcies.
--
Narcis Garcia
__________
I'm using this dedicated address because personal addresses aren't
masked enough at this mail public archive. Public archive administrator
should remove and omit any @, dot and mailto combinations against
automated addresses collectors.
Xavier Drudis Ferran
Dec 27, 2023, 3:30:04 PM12/27/23
to
El Wed, Dec 27, 2023 at 08:28:01PM +0100, Narcis Garcia deia:
openssl verify -CAfile /etc/ssl/certs/C...@CA.pem /etc/ssl/certs/Un.pem
on amb -CAfile la concatenació de els PEMs dels certificats de les CAs
intermitges si n'hi ha i la CA arrel.
Alternativament li pots passar un CApath amb un directori on hi hagi
certificats de CAs,
si no, man openssl-verify
> Bones i festives, per qui pugui.
>
> Vaig crear un certificat auto-signat (clau privada i clau pública), com a
> «Autoritat de Certificació» (CA), per a poder generar els meus certificats
> signats amb openssl:
>
> /etc/ssl/private/C...@CA.key
> /etc/ssl/certs/C...@CA.pem
>
> Aleshores he creat certificats signats per la CA com:
> /etc/ssl/private/Un.key
> /etc/ssl/certs/Un.pem
> /etc/ssl/private/Dos.key
> /etc/ssl/certs/Dos.pem
>
> El què passa és que tot això ho vaig fer de forma caòtica i ara em sembla
> que accidentalment vaig crear diferents CA i tot plegat ha perdut
> coherència.
>
> Algú sap com verificar, per línia de comandes, que un certificat d'usuari ha
> estat signat amb determinada clau d'autoritat?
>
> Un exemple imaginari:
> $ openssl --verifica-signatura /etc/ssl/certs/C...@CA.pem
> /etc/ssl/certs/Un.pem
>
> He cercat per Intenret, i trobo explicacions de què es treuen uns bits del
> «Un.pem» i es comparen amb uns altres bits del C...@CA.pem i em perdo.
>
> Gràcies.
>
de memòria diria que era
>
> Vaig crear un certificat auto-signat (clau privada i clau pública), com a
> «Autoritat de Certificació» (CA), per a poder generar els meus certificats
> signats amb openssl:
>
> /etc/ssl/private/C...@CA.key
> /etc/ssl/certs/C...@CA.pem
>
> Aleshores he creat certificats signats per la CA com:
> /etc/ssl/private/Un.key
> /etc/ssl/certs/Un.pem
> /etc/ssl/private/Dos.key
> /etc/ssl/certs/Dos.pem
>
> El què passa és que tot això ho vaig fer de forma caòtica i ara em sembla
> que accidentalment vaig crear diferents CA i tot plegat ha perdut
> coherència.
>
> Algú sap com verificar, per línia de comandes, que un certificat d'usuari ha
> estat signat amb determinada clau d'autoritat?
>
> Un exemple imaginari:
> $ openssl --verifica-signatura /etc/ssl/certs/C...@CA.pem
> /etc/ssl/certs/Un.pem
>
> He cercat per Intenret, i trobo explicacions de què es treuen uns bits del
> «Un.pem» i es comparen amb uns altres bits del C...@CA.pem i em perdo.
>
> Gràcies.
>
openssl verify -CAfile /etc/ssl/certs/C...@CA.pem /etc/ssl/certs/Un.pem
on amb -CAfile la concatenació de els PEMs dels certificats de les CAs
intermitges si n'hi ha i la CA arrel.
Alternativament li pots passar un CApath amb un directori on hi hagi
certificats de CAs,
si no, man openssl-verify
Narcis Garcia
Dec 28, 2023, 2:30:04 AM12/28/23
to
El 27/12/23 a les 21:06, Xavier Drudis Ferran ha escrit:
Funciona exactament com has escrit.
0 new messages