如何通过 openssl 检索证书链答案

【问题标题】：How can retrieve chain of certificates via openssl如何通过 openssl 检索证书链
【发布时间】：2012-12-24 10:42:17
【问题描述】：

我必须从 remore 服务器检索并下载我的本地环境证书链。我可以使用浏览器嵌入式服务来做到这一点，但据我所知，这种方法不适用于证书链（或存在一些瓶颈）。这就是我尝试使用 openssl 以下命令的原因：

openssl s_client -showcerts -connect host.host:9999

这将打印出适当的证书信息，例如：

已连接（0000015C） depth=1 /C=US/O=Google Inc/CN=Google Internet Authority 验证错误：num=20：无法获取本地颁发者证书验证返回：0 --- 证书链 0 秒：/C=US/ST=加利福尼亚/L=山景/O=Google Inc/CN=google.com i:/C=US/O=Google Inc/CN=Google Internet Authority -----开始证书----- MIIcFzCCG4CgAwIBAgIGR09PUAFxMA0GCSqGSIb3DQEBBQUAMEYxCzAJBgNVBAYT -----结束证书----- 1 s:/C=US/O=Google Inc/CN=Google Internet Authority i:/C=US/O=Equifax/OU=Equifax 安全证书颁发机构 -----开始证书----- MIICsDCCAhmgAwIBAgIDC2dxMA0GCSqGSIb3DQEBBQUAME4xCzAJBgNVBAYTAlVT -----结束证书----- --- 服务器证书主题=/C=US/ST=加利福尼亚/L=山景/O=Google Inc/CN=google.com issuer=/C=US/O=Google Inc/CN=Google Internet Authority --- 未发送客户端证书 CA 名称 --- SSL 握手已读取 8040 字节并写入 310 字节

如何获得 .crt 或 .cer 格式的文件？我可以将其复制/粘贴到具有适当扩展名的文本文件中吗？如果是，链的起点和终点在哪里？

【问题讨论】：

标签： openssl

【解决方案1】：

我不知道你所说的“.crt”或“.cer”格式到底是什么意思。如果您在 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 之间复制这些输出并保存它们到文本文件，您将获得 PEM 格式的证书链文件（默认为 openssl）。您的文件应如下所示（链中的 2 个证书）：

【讨论】：

我搜索了一些特定的命令来检索具有适当链的文件，而无需从命令行复制粘贴。我找到了解决方案 - 使用常规的 Windows 输出。 openssl s_client -showcerts -connect host.host:9999 >> tomcat.crt
“我不知道你所说的 '.crt' 或 '.cer' 格式到底是什么意思” - 你必须在字里行间阅读，因为命名标准的方式。通常，这意味着证书是 ASN.1/DER 编码的。但有时它们也是 PEM 编码的。我通常对 PEM 使用“.pem”，但我看到一些 CA 在 PEM 中发布他们的证书并使用“.crt”或“.cer”格式。
仅供参考：我一直将所有证书放在 Java/Sun-JRE/*/customcerts 目录中的单独 .pem 文件中。我刚刚尝试将它们组合成一个证书链文件，如上所述，我的应用程序根本不喜欢它。 YMMV