如何使用Ruby OpenSSL验证X.509证书?

时间:2015-03-07 03:56:32

标签: ruby openssl x509certificate

我正在尝试验证Amazon SNS消息。它由X.509证书签名,并提供证书的URL。

检查证书签名没有问题,但我怎么知道证书有效?

我见过各种各样的地方,展示了如何让OpenSSL验证SSLSocket上使用的证书,但我看不出如何检查证书是否有效。

我想我可以“shell”出来运行类似openssl x509 -in <file> -text -noout的东西,并解析输出,但这似乎是一个蹩脚的解决方案。

所以:

cert = OpenSSL::X509::Certificate.new(Faraday.get(cert_url).body)
# now what?

1 个答案:

答案 0 :(得分:7)

嗯,这是一个挣扎的周末,而且现在更清楚了。

基本顺序是构造一个OpenSSL :: X509 :: Store,并用可信CA的证书填充它。

store = OpenSSL::X509::Store.new
store.set_default_paths # populates with some 'standard' ones

然后,我可以用以下方法测试证书的有效性:

store.verify(cert)

在我的情况下(验证SNS通知),增加的皱纹是我尝试验证的证书不是由受信任的CA直接签名的,因此我需要添加额外的级别。

我已经能够通过搜索网络获取签署SNS证书的证书来检查整个链。所以最终的代码最终会是这样的:

def valid?(cert)
    store.verify(cert)
end
def store
    @store ||= OpenSSL::X509::Store.new.tap do |store|
      store.set_default_paths
      store.add_cert(OpenSSL::X509::Certificate.new(File.read('SNS_issuer_cert.cer')))
    end
end