Re: Comprovar signatura de certificat x509
El 27/12/23 a les 21:06, Xavier Drudis Ferran ha escrit: El Wed, Dec 27, 2023 at 08:28:01PM +0100, Narcis Garcia deia: Bones i festives, per qui pugui. Vaig crear un certificat auto-signat (clau privada i clau pública), com a «Autoritat de Certificació» (CA), per a poder generar els meus certificats signats amb openssl: /etc/ssl/private/c...@ca.key /etc/ssl/certs/c...@ca.pem Aleshores he creat certificats signats per la CA com: /etc/ssl/private/Un.key /etc/ssl/certs/Un.pem /etc/ssl/private/Dos.key /etc/ssl/certs/Dos.pem El què passa és que tot això ho vaig fer de forma caòtica i ara em sembla que accidentalment vaig crear diferents CA i tot plegat ha perdut coherència. Algú sap com verificar, per línia de comandes, que un certificat d'usuari ha estat signat amb determinada clau d'autoritat? Un exemple imaginari: $ openssl --verifica-signatura /etc/ssl/certs/c...@ca.pem /etc/ssl/certs/Un.pem He cercat per Intenret, i trobo explicacions de què es treuen uns bits del «Un.pem» i es comparen amb uns altres bits del c...@ca.pem i em perdo. Gràcies. de memòria diria que era openssl verify -CAfile /etc/ssl/certs/c...@ca.pem /etc/ssl/certs/Un.pem on amb -CAfile la concatenació de els PEMs dels certificats de les CAs intermitges si n'hi ha i la CA arrel. Alternativament li pots passar un CApath amb un directori on hi hagi certificats de CAs, si no, man openssl-verify Funciona exactament com has escrit. Gràcies. -- Narcis Garcia __ I'm using this dedicated address because personal addresses aren't masked enough at this mail public archive. Public archive administrator should remove and omit any @, dot and mailto combinations against automated addresses collectors.
Re: Comprovar signatura de certificat x509
El Wed, Dec 27, 2023 at 08:28:01PM +0100, Narcis Garcia deia: > Bones i festives, per qui pugui. > > Vaig crear un certificat auto-signat (clau privada i clau pública), com a > «Autoritat de Certificació» (CA), per a poder generar els meus certificats > signats amb openssl: > > /etc/ssl/private/c...@ca.key > /etc/ssl/certs/c...@ca.pem > > Aleshores he creat certificats signats per la CA com: > /etc/ssl/private/Un.key > /etc/ssl/certs/Un.pem > /etc/ssl/private/Dos.key > /etc/ssl/certs/Dos.pem > > El què passa és que tot això ho vaig fer de forma caòtica i ara em sembla > que accidentalment vaig crear diferents CA i tot plegat ha perdut > coherència. > > Algú sap com verificar, per línia de comandes, que un certificat d'usuari ha > estat signat amb determinada clau d'autoritat? > > Un exemple imaginari: > $ openssl --verifica-signatura /etc/ssl/certs/c...@ca.pem > /etc/ssl/certs/Un.pem > > He cercat per Intenret, i trobo explicacions de què es treuen uns bits del > «Un.pem» i es comparen amb uns altres bits del c...@ca.pem i em perdo. > > Gràcies. > de memòria diria que era openssl verify -CAfile /etc/ssl/certs/c...@ca.pem /etc/ssl/certs/Un.pem on amb -CAfile la concatenació de els PEMs dels certificats de les CAs intermitges si n'hi ha i la CA arrel. Alternativament li pots passar un CApath amb un directori on hi hagi certificats de CAs, si no, man openssl-verify
Comprovar signatura de certificat x509
Bones i festives, per qui pugui. Vaig crear un certificat auto-signat (clau privada i clau pública), com a «Autoritat de Certificació» (CA), per a poder generar els meus certificats signats amb openssl: /etc/ssl/private/c...@ca.key /etc/ssl/certs/c...@ca.pem Aleshores he creat certificats signats per la CA com: /etc/ssl/private/Un.key /etc/ssl/certs/Un.pem /etc/ssl/private/Dos.key /etc/ssl/certs/Dos.pem El què passa és que tot això ho vaig fer de forma caòtica i ara em sembla que accidentalment vaig crear diferents CA i tot plegat ha perdut coherència. Algú sap com verificar, per línia de comandes, que un certificat d'usuari ha estat signat amb determinada clau d'autoritat? Un exemple imaginari: $ openssl --verifica-signatura /etc/ssl/certs/c...@ca.pem /etc/ssl/certs/Un.pem He cercat per Intenret, i trobo explicacions de què es treuen uns bits del «Un.pem» i es comparen amb uns altres bits del c...@ca.pem i em perdo. Gràcies. -- Narcis Garcia __ I'm using this dedicated address because personal addresses aren't masked enough at this mail public archive. Public archive administrator should remove and omit any @, dot and mailto combinations against automated addresses collectors.
