วิธีการแตก Root CA และ CA ย่อยจากห่วงโซ่ใบรับรองใน Linux?

ฉันมีใบรับรองเอนทิตี / เซิร์ฟเวอร์ที่มีใบรับรองระดับกลางและระดับรูท เมื่อฉันcatใช้ใบรับรองเอนทิตีฉันเห็นเพียงแท็กเดียวBEGINและENDแท็ก เป็นเพียงใบรับรองเอนทิตีปลายทาง

มีวิธีใดบ้างที่ฉันสามารถดูเนื้อหาใบรับรองระดับกลางและรูท ฉันต้องการเฉพาะเนื้อหาBEGINและENDแท็ก

ใน Windows ฉันสามารถดูเชนใบรับรองเต็มได้จาก "เส้นทางการรับรอง" ด้านล่างนี้เป็นตัวอย่างสำหรับใบรับรองของ Exchange Exchange

จากตรงนั้นฉันสามารถดูใบรับรองและส่งออกได้ ฉันสามารถทำได้ทั้งในระดับรากและระดับกลางใน Windows ฉันกำลังมองหาวิธีเดียวกันนี้ใน Linux

จากเว็บไซต์คุณสามารถทำได้:

openssl s_client -showcerts -verify 5 -connect stackexchange.com:443 < /dev/null

ที่จะแสดงห่วงโซ่ใบรับรองและใบรับรองทั้งหมดที่เซิร์ฟเวอร์นำเสนอ

ตอนนี้ถ้าฉันบันทึกใบรับรองทั้งสองไปยังไฟล์ฉันสามารถใช้openssl verify:

$ openssl verify -show_chain -untrusted dc-sha2.crt se.crt 
se.crt: OK
Chain:
depth=0: C = US, ST = NY, L = New York, O = "Stack Exchange, Inc.", CN = *.stackexchange.com (untrusted)
depth=1: C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA (untrusted)
depth=2: C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV Root CA

-untrustedตัวเลือกที่จะใช้ในการให้ใบรับรองระดับกลาง (s); se.crtเป็นใบรับรองในการตรวจสอบ ผลลัพธ์ depth = 2 มาจากที่เก็บ CA ที่เชื่อถือได้ของระบบ

หากคุณไม่มีใบรับรองระดับกลางคุณจะไม่สามารถทำการตรวจสอบได้ นั่นเป็นเพียงวิธีการทำงานของ X.509

มันอาจมี URI เพื่อรับสื่อกลางทั้งนี้ขึ้นอยู่กับใบรับรอง ตัวอย่างopenssl x509 -in se.crt -noout -textประกอบด้วย:

        Authority Information Access: 
            OCSP - URI:http://ocsp.digicert.com
            CA Issuers - URI:http://cacerts.digicert.com/DigiCertSHA2HighAssuranceServerCA.crt

URI "CA Issuers" นั้นชี้ไปที่ใบรับรองระดับกลาง (ในรูปแบบ DER ดังนั้นคุณต้องใช้openssl x509 -inform der -in DigiCertSHA2HighAssuranceServerCA.crt -out DigiCertSHA2HighAssuranceServerCA.pemเพื่อแปลงเพื่อใช้งานต่อไปโดย OpenSSL)

หากคุณเรียกใช้openssl x509 -in /tmp/DigiCertSHA2HighAssuranceServerCA.pem -noout -issuer_hashคุณจะได้รับ244b5494ซึ่งคุณสามารถค้นหาได้ในที่เก็บ root ของระบบ CA ที่/etc/ssl/certs/244b5494.0(เพียงต่อท้าย.0ชื่อ)

ฉันไม่คิดว่าจะมีคำสั่ง OpenSSL ที่ดีและง่ายต่อการทำสิ่งนั้นเพื่อคุณ

tl; dr - เวทย์ทุบตีสายการบินหนึ่งเพื่อทิ้ง certs ทั้งหมดในโซ่

openssl s_client -showcerts -verify 5 -connect de.wikipedia.org:443 < /dev/null | awk '/BEGIN/,/END/{ if(/BEGIN/){a++}; out="cert"a".crt"; print >out}' && for cert in *.crt; do newname=$(openssl x509 -noout -subject -in $cert | sed -n 's/^.*CN=\(.*\)$/\1/; s/[ ,.*]/_/g; s/__/_/g; s/^_//g;p').pem; mv $cert $newname; done

คำอธิบายใน 2 ขั้นตอน

หากต้องการดัมพ์ certs ทั้งหมดในเชนไปยัง dir ปัจจุบันcert${chain_number}.pemดังนี้:

openssl s_client -showcerts -verify 5 -connect your_host:443 < /dev/null | awk '/BEGIN/,/END/{ if(/BEGIN/){a++}; out="cert"a".pem"; print >out}' 

โบนัสแทร็กเพื่อเปลี่ยนชื่อเป็นชื่อสามัญ:

for cert in *.pem; do newname=$(openssl x509 -noout -subject -in $cert | sed -n 's/^.*CN=\(.*\)$/\1/; s/[ ,.*]/_/g; s/__/_/g; s/^_//g;p').pem; mv $cert $newname; done