Question

现在我有一张X509叶子证书。从证书路径看，其中有一个中间证书和一个根证书。

enter image description here

我想生成中间证书（.. CA-G3）和根证书（VerSign）。目前，我的方法是双击中间的，然后单击“复制到文件...”以导出它。同样也适用于root用户。这种方式是否可以纠正以生成中间/根证书？

从我的测试结果来看，生成的根证书似乎有错误的指纹。 fingerpring 与服务器端的不匹配。

任何人都可以帮助您正确生成中间/根证书吗？

Answer 1

您对证书和证书链存在根本性的误解。

搜索并找到CA和根证书，而不是生成。

某些证书包括CA证书在证书正文中的位置（在特殊证书扩展中）。对于其他人，您需要查看CA证书存储（这是Windows所做的）。有时链与终端实体证书一起发送（取决于数据格式）。最后，有时CA和Root无法使用。

Answer 2

[提供答案......，也许这是获取SSL服务器使用的所有证书的另一种方法]

通过OpenSSL命令检索ntermediate和root证书：

  openssl s_client -showcerts -connect [host]:[port]