• База знаний
  • /
  • Блог
  • /
  • Wiki
  • /
+380 (44) 364 05 71

 

В данной статье речь пойдёт о том как проверить и собрать цепочку сертификатов с помощью консоли. О том что такое SSL сертификат Вы можете узнать из нашей статьи «SSL сертификаты — особенности и отличия».

Примеры описанные в данной статье выполнены на OS семейства Debian / Ubuntu.

Все описанные ниже команды выполняются в терминале (консоле), из директории в которой расположены все необходимые нам файлы.

Обязательным условием для проверки является наличие установленного пакета openssl, проверить наличие очень легко, достаточно ввести команду:

openssl help

При наличии пакетов Вы получите следующий вывод на экран:

Проверка наличия openssl.

 

В ином случае Вам стоит установить данный пакет, для этого выполните команду

apt install openssl

Итак, сперва проверим корректность содержимого CSR, выполняем команду

openssl req -text -noout -verify -in server.csr

Стоит обратить внимание на строку

verify — статус корректного файла должен иметь значение «OK»

Немнго о значениях поля Subject:

 

  • C — сокращённое название страны
  • ST — область, в которой расположена организация
  • L — город, в которой расположена организация
  • O — наименование организации
  • OU — обозначение отрасли в которой работает компания
  • CN — адрес сайта (доменное имя) Вашей компании
  • emailAddress — это поле думаю понятно всем, это контактный адрес электронной почты

 

Значения полей Subject

 

Далее необходимо проверить корректность ключа, для этого требуется выполнить

openssl rsa -in server.key -check

Проверка кооректности ключа

 

Опять таки для нас наиболее важной информацией является статус в поле RSA key, если
статус «ok» - с ключом всё в порядке.

Проверяем SSL сертификат:

openssl x509 -in crt.crt -text -noout

 

Проверка SSL сертификата

 

В листинге вывода мы видим данные сертификата:

  • срок действия сертификата описан в блоке периода действия (Validity)
    • Not Before обозначают дату начала действия (не ранее чем)
    • Not After дату конца действия (не позже)
  • В поле Х….Subject Alternative Name будет содержаться информация о домене для которого
    выпущен сертификат

 

После проделанных действий необходимо сравнить соответствие полученных ключа,
сертификата и CSR.

Выполняется это сравнением MD5 сумм.

Для сертификата

openssl x509 -noout -modulus -in crt.crt |md5sum

Для ключа

openssl rsa -noout -modulus -in key.key |md5sum

Для CSR

openssl req -noout -modulus -in csr.csr | md5sum

 

Сверка данніх ключа и CSR

 

Если ключ, сертификат и CSR созданы друг для друга — хешсуммы будут одинаковыми.

Соберем цепочку сертификатов.

Чтобы понять в какой последовательности должны быть добавлены данные необходимо
выполнить команду :

openssl x509 -in имя_сертификата.crt -noout -text | egrep "Subject:|Issuer:"

для каждого сертификата, который был прислан в архиве.

Вывод на экран получается следующего вида:

 

Последовательность добавления данных

 

Сопоставив полученные данные делаем вывод о том, что сертификаты должны идти в
следующем порядке, ссразу добавляем их в bundle.

cat sics_com_ua.crt > ./bundle.bundle

cat SectigoRSADomainValidationSecureServerCA.crt >> ./bundle.bundle

cat USERTrustRSAAddTrustCA.crt >> ./bundle.bundle

cat AddTrustExternalCARoot.crt >> ./bundle.bundle

Стоит обратить внимание на символы > и >>.

Одинарный знак будет перезаписывать файл в то время как двойной дописывать.

После проведённых действий производим проверку сертификатов и bundle на соответствие
по хешсумме.

 

Хешсумма проверки совпадает

 

В том случае если цепочка будет собрана не верно, сумма совпадать не будет.

 

Хэшсумма проверки не совпадает

 

Для проверки полной цепочки установленной на сайте необходимо выполнить команду:

openssl s_client -connect freehost.com.ua:443

 

Проверка полной цепочки SSL  сертификата

 

В разделе Certificate chain описывается цепочка.

Также цепочку можно проверить на сайте https://www.sslshopper.com введя необходимое
доменное имя.

У нас Вы можете заказать VPS c ОС Debian и Ubuntu. Если во время использования инструкции у Вас возникнут вопросы, наша техническая поддержка готова прийти на помощь в любое время.

Дата: 20.05.2019
Автор: Сергей
Голосование

Авторам статьи важно Ваше мнение. Будем рады его обсудить с Вами:

comments powered by Disqus
Спасибо, что выбираете FREEhost.UA