Допустим, я начинаю с сертификата.
Используя openssl, я могу распечатать это так:
openssl x509 -in cert.pem -text -noout
И я получу такой вывод, как Validity
, Issuer
и Subject
вместе с Authority Key Identifier
и Subject Key Identifier
.
Как использовать эти поля для выработки следующего сертификата в цепочке?
А затем, как только я получу следующий сертификат, решу, каким должен быть следующий сертификат и т. Д.
По сути, я хочу проработать всю цепочку и расположить все в правильном порядке для балансировщика нагрузки EC2. Поскольку Network Solutions, похоже, не просто дает вам пакет, который работает. Они выдают вам индивидуальные сертификаты, и я пробовал и пробовал много разных заказов для EC2, но до сих пор не получил его. Моя последняя ставка - попробовать openssl и решить это вручную, а не гадать.
В X509v3 Authority Key Identifier
в openssl
вывод для дочернего ключа будет соответствовать X509v3 Subject Key Identifier
для ключа подписи.
Например, для сертификата SSL этого сайта и его родительского сертификата:
# openssl x509 -text -noout -in subject.pem
...
Subject: C=US, ST=NY, L=New York, O=Stack Exchange, Inc., CN=*.stackexchange.com
...
X509v3 Authority Key Identifier:
keyid:51:68:FF:90:AF:02:07:75:3C:CC:D9:65:64:62:A2:12:B8:59:72:3B
X509v3 Subject Key Identifier:
5A:C1:42:63:C2:62:13:B3:9D:94:84:AA:32:1E:17:CB:6D:A3:86:7B
# openssl x509 -text -noout -in parent.pem
...
Subject: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert SHA2 High Assurance Server CA
...
X509v3 Subject Key Identifier:
51:68:FF:90:AF:02:07:75:3C:CC:D9:65:64:62:A2:12:B8:59:72:3B
X509v3 Authority Key Identifier:
keyid:B1:3E:C3:69:03:F8:BF:47:01:D4:98:26:1A:08:02:EF:63:64:2B:C3
51:68:FF:90:AF:02:07:75:3C:CC:D9:65:64:62:A2:12:B8:59:72:3B
это то, что устанавливает на дочернем сертификате, какой сертификат подписал его, вы должны иметь возможность использовать это, чтобы найти правильные сертификаты органов власти.
Важно отметить, что промежуточные сертификаты не относятся к вашему домену или сертификату. Итак, каждый выданный сертификат, похожий на ваш, имеет точно такие же промежуточные сертификаты.
Вы можете думать о них как о маршрутном номере на ваших чеках. Маршрутный номер необходим, но он больше говорит о вашем банке, чем о вас. Номер вашего счета или в данном случае сертификат - это то, что для вас уникально.
Из-за общего характера промежуточных сертификатов существуют такие веб-сайты, как этот:
https://www.ssl2buy.com/wiki/ssl-intermediate-and-root-ca-bundle
В нем все промежуточные сертификаты предварительно объединены (и в правильном порядке) для разных издателей сертификатов.