使用openssl和web请求检查服务器证书

Question

使用标准的MediaTemple服务器设置，使用已安装的GeoTrust域证书，我将得到来自openssl和web请求的不同响应。

访问网站从网站检查网站，我得到了一个良好的反应，并看到我的域证书和完整的Geotrust证书链。

在使用时

openssl s_client -connect subdomain.domain.com:443 -showcerts -ssl3

从我的本地机器上我看到

Server certificate
subject=/C=US/ST=Virginia/L=Herndon/O=Parallels/OU=Parallels 
Panel/CN=Parallels Panel/emailAddress=info@parallels.com
issuer=/C=US/ST=Virginia/L=Herndon/O=Parallels/OU=Parallels Panel/CN=Parallels 
Panel/emailAddress=info@parallels.com

并验证返回代码: 18 (自签名证书)

openssl version -d = OPENSSLDIR: "/etc/pki/tls"

它是一个Centos 6.x盒子。

apache httpd.conf文件指向一个完全不同位置的证书和CA列表:/usr/local/psa/var/httpd.conf/这对我来说很好。

openssl s_client在哪里找到并行证书？它不在/etc/pki/tls中。是否有一种方法来配置该框，以便openssl请求和apache使用相同的服务器证书？

提前感谢！

Answer 1

openssl s_client在SSL握手期间从服务器获得证书。OPENSSLDIR只是存储openssl工具的任何(可选)配置的地方。

请注意，您可能得到一个与您在服务器上配置的openssl不同的证书，因为您需要像浏览器一样使用SNI (服务器名称指示)。如果在同一个IP后面有多个证书，则使用此功能。若要在openssl中使用此特性，请添加-servername hostname参数并提供您希望的名称。您还必须删除-ssl3选项，因为这限制了到SSL3.0的连接，它不仅不安全，而且不支持SNI。

Answer 2

结果发现，在MediaTemple服务器上，他们在两个位置维护证书。apache服务器在其conf文件中有一个CA文件的位置，与openssl维护其CA文件的位置不同。

您可以在conf文件和openssl位置中找到apache位置

openssl version -d

在MediaTemple管理页面中，您可以使用plesk将域证书作为“服务器的”证书安装到openssl位置。apache服务器应该已经将cert和CA文件放在正确的位置。MediaTemple自定义apache配置覆盖标准apache设置，该设置将apache的证书位置设置为与openssl的相同。