Как разобрать данные ssl записи для домена?

Question

[Вадим]

Делаю экстракцию сертификатов для домена с помощь openssl

$ openssl s_client -showcerts -connect d.codeartifact.eu-north-1.amazonaws.com:443

CONNECTED(00000005)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, CN = Amazon RSA 2048 M02
verify return:1
depth=0 CN = d.codeartifact.eu-west-2.amazonaws.com
......................................................................................

На выхлопе он показывает 2 сертификата Amazon Root CA 1 и Amazon RSA 2048 M02.

1. Я правильно понимаю, что первый это Root сертификат от авторити? А второй Amazon RSA 2048 M02?
2. Мне нужно скачивать все root and intermediate CA certificates для данного домена - желательно командой, возможно ли это? И сохранять все в один файл для другого приложения, которое использует CA сертификаты для проверки аутентичности ssl соединения

Answer 1

[Rsa97]

В полном выводе вашей команды присутствуют все сертификаты. Это строки

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

Цепочка сертификатов прослеживается по полю Issuer. У вас конечный сертификат:
CN = d.codeartifact.eu-west-2.amazonaws.com
промежуточные:
C = US, O = Amazon, CN = Amazon RSA 2048 M02
C = US, O = Amazon, CN = Amazon Root CA 1
корневой:

C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2

.

Comments

[Вадим]

разве какой-то из этих сертификатов относится Certificate Authority certificate - мне по сути нужен Certificate Authority certificate, который выдается доверенным центром сертификации и используется для проверки подлинности других сертификатов, включая сертификаты этого сервера !

[Rsa97]

Вадим, Корневой (как правило, самозаверенный) сертификат лежит в основе дерева. Доступ к нему в серьёзный центрах сертификации крайне ограниченный, поэтому для подписания клиентских сертификатов генерируется промежуточный сертификат, подписанный корневым. А уже промежуточным сертификатом подписывается конечный. Промежуточных сертификатов может быть несколько.
В вашем случае корневой сертификат принадлежит Starfield Technologies, Inc. и, скорее всего, есть в хранилище доверенных сертификатов браузера и/или операционной системы.

Вот он в Windows

Этим сертификатом подписан Amazon Root CA 1, который, судя по названию, компания Amazon использует как свой основной сертификат.
Затем идёт второй промежуточный сертификат, Amazon RSA 2048 M02.
И уже им подписан конечный сертификат d.codeartifact.eu-west-2.amazonaws.com.

[Вадим]

а почему в Виндовсе два Starfield сертификата? Наверное они слегка разные центры авторизации той же компании.

Я знаю, что можно его скачать через Сертификаты в Винде... а интересно в Линуксе корневой сертификат можно как-то получить какой-то командой.

Спасибо вам за подробный ответ !

[Rsa97]

Вадим, У меня в Windows три сертификата Starfield, один из которых отозван. Из оставшихся двух один может использоваться для подписания других сертификатов (как раз G2), а второй только как конечный (Class 2).
В Linux симлинки на корневые сертификаты лежат в /etc/ssl/certs

[Вадим]

Rsa97,

на линуксе даже 3

Answer 2

[3vi1_0n3]

Вот так скачать все одной командой:

echo "" | openssl s_client -showcerts -connect d.codeartifact.eu-north-1.amazonaws.com:443 | sed -ne '/-----BEGIN CERTIFICATE-----/,/-----END CERTIFICATE-----/p' > certs.txt

Если сертификат самого сервера не нужен, то можно его удалить из этого файла (certs.txt), но я, честно говоря, оставил бы, если вам надо проверять аутентичность соединения именно с этим доменом.

Comments

[Вадим]

Мне нужно скачивать все root and intermediate CA certificates для данного домена - сертификаты от Cetrtificate Authority нужны, не сертификаты для домена d.codeartifact.eu-west-2.amazonaws.com

[3vi1_0n3]

Ну и отлично. После той команды вверху надо просто удалить из файла сертификат сервера, остальные уже там. Разберетесь или добавить команду удаления?