下载证书: gnutls或openssl

Question

我需要从一个网站下载一个证书。到目前为止，我一直在使用gnutls命令来获得它。

$ gnutls-cli --save-cert=ra-sec.pem vault.ra-sec.svc

我发现我能使用openssl：

$ openssl s_client -connect vault.ra-sec.svc:443

尽管如此，这两个下载的证书并不相同。

有什么想法吗？

Answer 1

Openssl会在ClientHello消息中自动发送主机名，如果服务器配置了多个TLS证书，那么请求将返回默认的TLS证书，而不是特定于主机名的证书。

要获得与gnutls-cli类似的输出，您可能需要使用-servername和-showcerts选项：

-servername name在ClientHello消息中设置TLS (服务器名称指示)扩展。-showcerts显示整个服务器证书链:通常只显示服务器证书本身。

$ openssl s_client -showcerts -servername vault.ra-sec.svc -connect vault.ra-sec.svc:443

Answer 2

gnutls版本

gnutls-bin --print-cert vault.ra-sec.svc:443 | certtool --certificate-info