我必须从远程服务器检索和下载本地环境证书链。我可以使用浏览器嵌入式服务来实现它,但据我所知,这种方法不适用于证书链(或者有一些瓶颈)。这就是为什么我试图使用openssl以下命令:
openssl s_client -showcerts -connect host.host:9999
将打印出相应的证书信息,如:
<>之前连接(0000015 c)深度=1/C=US/O=Google Inc/CN=Google Internet Authority验证错误:num=20:无法获取本地颁发者证书验证返回:0---证书链0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=google.comi:/C=US/O=Google Inc/CN=Google Internet Authority——开始证书MIIcFzCCG4CgAwIBAgIGR09PUAFxMA0GCSqGSIb3DQEBBQUAMEYxCzAJBgNVBAYT——结束证书1 s:/C=US/O=Google Inc/CN=Google Internet Authorityi:/C=US/O=Equifax/OU=Equifax安全证书颁发机构——开始证书MIICsDCCAhmgAwIBAgIDC2dxMA0GCSqGSIb3DQEBBQUAME4xCzAJBgNVBAYTAlVT——结束证书---服务器证书subject=/C=US/ST=California/L=Mountain View/O=Google Inc/CN=google.com发行人=/C=US/O=Google Inc/CN=Google Internet Authority---没有发送客户端证书CA名称---SSL握手读取8040字节,写入310字节我怎么能得到这个在。crt或。cer格式?我可以复制/粘贴这个文本文件与适当的扩展名?如果是,链条的起点和终点在哪里?
我不知道你说的'到底是什么意思。Crt ' or '。cer的格式。如果您复制-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----之间的输出片段,并将它们保存到一个文本文件中,您将获得PEM格式的证书链文件(openssl的默认格式)。您的文件应该看起来像这样(链中的2个证书):
-----BEGIN CERTIFICATE-----
MIIF/DCCBWWgAwIBAgIKUCYyawAAAAB1rzANBgkqhkiG9w0BAQUFADBGMQswCQYD
<the rest of the certificate 1>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIICsDCCAhmgAwIBAgIDC2dxMA0GCSqGSIb3DQEBBQUAME4xCzAJBgNVBAYTAlVT
<the rest of the certificate 2>
-----END CERTIFICATE-----