文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >如何使用openssl验证DER证书?

如何使用openssl验证DER证书?
EN

Stack Overflow用户
提问于 2020-06-27 02:50:28
回答 2查看 1.6K关注 0票数 0

PEM工作正常

代码语言:javascript
复制
openssl verify -CAfile CA/ca.crt leaf.cert.pem

但无法验证使用openssl x509 -in leaf.cert.pem -outform der -out leaf.cert.der生成的DER

代码语言:javascript
复制
openssl verify -CAfile CA/ca.crt leaf.cert.der

产生

代码语言:javascript
复制
unable to load certificate
4613703104:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE

openssl verify不接受-inform der作为其他openssl命令。

这是否意味着没有办法直接验证DER,而我需要将其转换为PEM,然后进行验证?

ssl
openssl
EN

回答 2

Stack Overflow用户

回答已采纳

发布于 2020-06-27 07:21:30

人们通常使用管道将一个命令的输出通过管道传输到另一个命令。

因此,要验证DER格式,您可以这样做:

代码语言:javascript
复制
openssl x509 -inform der -in .\leaf.cert.cer -outform pem | openssl
verify -CAfile CA/ca.crt

这里假设"leaf.cert.cer“是DER格式,"CA/ca.crt”是PEM格式。

要分解它,请执行以下操作:

代码语言:javascript
复制
openssl x509 -inform der -in .\leaf.cert.cer -outform pem

将DER证书转换为PEM格式,并将输出转换为标准输出。

代码语言:javascript
复制
openssl verify -CAfile CA/ca.crt

验证来自标准输入的PEM证书。

并将这两个命令与管道'|‘命令组合在一起,该命令将来自第一个命令的stdout通过管道传输到第二个命令的stdin。

票数 2
EN

Stack Overflow用户

发布于 2020-12-03 21:51:56

创建bash脚本以检查证书状态。如果需要,请转换为PEM格式。

代码语言:javascript
复制
#!/bin/bash

#
# Check certificate revocation status.
# Convert certificate to PEM format if needed.

CERT=$1

DIR="$( cd "$( dirname "${BASH_SOURCE[0]}" )" >/dev/null 2>&1 && pwd )"

CERT_PEM_TMP=$(mktemp  -p $DIR -t "cert_pem.XXXXXXXXXX")
ISSUER_CRT_TMP=$(mktemp  -p $DIR -t "issuer_crt.XXXXXXXXXX")
ISSUER_PEM_TMP=$(mktemp  -p $DIR -t "issuer_pem.XXXXXXXXXX")


cert_to_pem () {
    _CertFn=$1
    _PemCertFn=$2
    _Res=$(grep -c '\-\-BEGIN CERTIFICATE\-\-' $_CertFn)
    echo "is_pem RES: $_Res"
    if [ $_Res == "0" ]; then
        echo "DER format"
        openssl x509 -inform DER -in $_CertFn -out $_PemCertFn
    else
        ech "PEM Format"
        openssl x509 -inform PEM -in $_CertFn -out $_PemCertFn
    fi
}

cert_to_pem $CERT $CERT_PEM_TMP

CRT_URI=$( openssl x509 -in $CERT_PEM_TMP -text -noout | grep 'CA Issuers' | sed -e "s/^.*CA Issuers - URI://" )
echo "CRT_URI: $CRT_URI"
curl --silent $CRT_URI > $ISSUER_CRT_TMP
#./export_to_pem.tcl $ISSUER_CRT_TMP $ISSUER_PEM_TMP
cert_to_pem $ISSUER_CRT_TMP $ISSUER_PEM_TMP

OSCP_URI=$(openssl x509 -in $CERT_PEM_TMP -ocsp_uri -noout)
OSCP_HOST=$(echo $OSCP_URI | sed -e 's|^[^/]*//||' -e 's|/.*$||')

echo "check certificate: $CERT"
echo "ISSUER_PEM_TMP: $ISSUER_PEM_TMP"
echo "CERT_PEM_TMP: $CERT_PEM_TMP"
echo "OSCP_URI: $OSCP_URI"
echo "OSCP_HOST: $OSCP_HOST"
echo "Server response:"
openssl ocsp -no_nonce -issuer $ISSUER_PEM_TMP -cert $CERT_PEM_TMP -url   $OSCP_URI -header Host=$OSCP_HOST

echo "Server response end:"
rm $CERT_PEM_TMP
rm $ISSUER_CRT_TMP
rm $ISSUER_PEM_TMP
票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/62601119

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档