Chcemy użyć dwukierunkowego uwierzytelniania certyfikatów przy użyciu otwartego protokołu SSL.Weryfikacja przychodzącego protokołu SSL przy użyciu serwera OpenSSL S_Server
Kiedy otworzymy s_server następująco, klient jest w stanie połączyć się z serwerem:
openssl s_server -accept 12345 -cert our-cert.pem
(nasza-cert.pem jest nasz certyfikat.)
To działa prawidłowo. Jednak moje wymagania to:
- Sprawdź, czy certyfikat jest ważny przychodzące z zaufanych CA i
- Sprawdź, czy nazwa zwyczajowa to, czego oczekujemy, że będzie.
Próbowałem to:
openssl s_server -accept 12345 -cert our-cert.pem -CApath /etc/ssl/certs/
To pozwala klientowi na połączenie. Ale moje pytania to:
- W jaki sposób mogę się upewnić, że walidacja przychodzących SSL jest ważna i wydana przez urząd certyfikacji?
- W jaki sposób mogę sprawdzić poprawność nazwy pospolitej?