如何全面查看交叉签名证书签名

Question

长话短说:安全扫描升起了一个证书的标志，发现它是交叉签名证书上过期的根。Yadda yadda，更新的中间体，固定发行。

但是，我注意到openssl x509 -noout -text intermediate.crt只列出了证书上的单个签名，尽管有两个签名。我查看了手册页面，找不到打印额外签名的选项，而且google搜索甚至没有多大用处。

是否有一个解析器可以列出证书上的所有签名？我注意到Qualys枚举并遵循各种证书路径，但我不希望在查看证书元数据时进行prod更改。

Answer 1

X.509证书上只有一个签名。

但是，对于给定的CA，可以有多个不同的证书，以及使用不同证书的多个不同的验证路径，每个证书上都有一个签名。这就是Qualys/ssllabs向您展示的内容(检测到时)。

通常，涉及到的CA会记录这一点；我最喜欢的清晰性之一是LetsEncrypt。如果你最近过期的桥是赛蒂戈-用户信任-，大概有十几个Qs已经发布了，他们的图片就不那么清晰了，但是他们的文字已经足够好了(IMO)。

或者，既然证书透明度已经成为常见的(虽然不是通用的)，您通常可以(虽然不总是)在其中一个日志查看器上搜索。我发现crt.sh最方便，例如，https://crt.sh/?q=usertrust%20rsa%20certification%20authority快速显示了现在过期的网桥、更好的根目录和新的AAA的“备用”桥，以及不相关的微软协同设计背书，所有这些都有详细信息的链接，如果需要的话可以下载。