Il mio cliente git sostiene
error: Peer's Certificate issuer is not recognized.
Ciò significa che non riesce a trovare la chiave del server SSL corrispondente nel keyring di sistema globale. Voglio verificarlo guardando l' elenco di tutte le chiavi ssl disponibili a livello di sistema su un sistema gentoo linux. Come posso ottenere questo elenco?
Risposte:
Non sono le chiavi SSL che desideri, sono le autorità di certificazione e più precisamente i loro certificati.
Puoi provare:
awk -v cmd='openssl x509 -noout -subject' '
/BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt
Per ottenere "l'oggetto" di ogni certificato CA in /etc/ssl/certs/ca-certificates.crt
Attenzione che a volte si ottiene quell'errore quando i server SSL dimenticano di fornire i certificati intermedi.
Utilizzare openssl s_client -showcerts -connect the-git-server:443per ottenere l'elenco dei certificati inviati.
trust listdal pacchetto di p11-kit è essenzialmente lo stesso?
Non sono sicuro di Gentoo ma la maggior parte delle distro mettono i loro certificati soft-link in una posizione a livello di sistema all'indirizzo /etc/ssl/certs.
/etc/ssl/private/usr/share/ca-certificates/usr/local/share/ca-certificatesOgni volta che si inserisce un certificato in uno dei percorsi sopra menzionati, eseguire update-ca-certificatesper aggiornare gli /etc/ssl/certselenchi.
/etc/ssl/certsè la cartella corretta in gentoo. Ma i file non sono ben leggibili per gli occhi umani.
update-ca-certificatescon un ulteriore s(non posso modificarlo da solo, in quanto è solo una modifica di un carattere).
Avevo l'obbligo di elencare tutti i certificati sul nostro server e di avvisare se scadono. Abbiamo trovato questo comando:
locate .pem | grep "\.pem$" | xargs -I{} openssl x509 -issuer -enddate -noout -in {}