Czy istnieją jakieś narzędzia lub mechanizmy, które mogą pomóc w sprawdzeniu certyfikatu SSL wydanego przez ośrodek CA przed zainstalowaniem go na docelowym serwerze sieciowym?Czy istnieje sposób sprawdzenia, czy certyfikat cyfrowy SSL jest ważny bez instalacji na serwerze WWW?
Tak, możesz użyć openssl do utworzenia serwera testowego dla twojego certyfikatu za pomocą polecenia s_server. Stwarza to minimalny SSL/TLS serwer, który odpowiada na żądania HTTP na porcie 8080:
openssl s_server -accept 8080 -www -cert yourcert.pem -key yourcert.key -CAfile chain.pem
yourcert.pem jest certyfikat X.509, yourcert.key to klucz prywatny i chain.pem zawiera łańcuch zaufania między certyfikatem a certyfikatem głównym. Twój urząd certyfikacji powinien przekazać ci twójcert.pem i chain.pem.
Następnie użyj s_client OpenSSL do nawiązania połączenia:
openssl s_client -connect localhost:8080 -showcerts -CAfile rootca.pem
lub w systemie Linux:
openssl s_client -connect localhost:8080 -showcerts -CApath /etc/ssl/certs
Uwaga: To polecenie nie sprawdza, czy nazwa hosta odpowiada CN (nazwa zwyczajowa) lub SAN (subjectAltName) twojego certyfikatu. OpenSSL nie ma jeszcze procedury dla tego zadania. Zostanie dodany w OpenSSL 1.1.
Najlepszym i najłatwiejszym sposobem sprawdzenia poprawności SSL wydanego przez urząd certyfikacji jest jego zdekodowanie.
Oto pomocne LINK pomoże Ci zrobić: http://www.sslshopper.com/csr-decoder.html
Nadzieja to pomaga!