我有一个从pcap(SSL服务器证书)中删除的文件。它是一个二进制文件,其中包含两个证书(服务器证书和CA证书)。每个证书都以3字节长度字段为前缀,表示证书的长度(大端格式)
我想要找的是,如果可以使用" openssl verify"用于验证是否可以针对CA验证服务器证书的命令。
UPDATE1
我从未使用过"打开验证",但它似乎是适合它的工具。根据{{3}},它似乎需要使用-untrusted file
参数以PEM格式输入。只想在这里确认一下。希望它能以我所描述的二进制格式输入文件,这样可以更容易地使用wireshark。
答案 0 :(得分:1)
而不是"证书" (复数)Wireshark中的对象,提取每个"证书"对象单独,没有"证书长度"由TLS线格式预先设置的3字节;我们称他们为first.der
和second.der
。在每个文件上执行openssl x509 -inform der -in whichever.der -out whichever.pem
。 (如果您愿意,可以添加-outform pem
但不需要,因为它是默认设置。)然后openssl verify -untrusted second.pem first.pem
。
注意:如果此证书链位于根目录下,而不在构建OpenSSL的默认信任库中,则需要获取根(以PEM格式)并将其添加到信任库或使用{{1明确指定它}}