我正在使用OpenSSL,需要一个理智的默认CA列表.我正在使用Mozilla的可信CA列表,如
bundled by cURL.但是,我需要拆分此CA证书捆绑包,因为
OpenSSL documentation says:
If CApath is not NULL,it points to a directory containing CA certificates in PEM format. The files each contain one CA certificate. The files are looked up by the CA subject name hash value,which must hence be available.
例如,使用ca-bundle.crt文件直接工作正常:
openssl-1.0.1g> ./apps/openssl s_client -connect www.google.com:443 -CAfile /home/user/certs/ca-bundle.crt
...
Verify return code: 0 (ok)
---
DONE
但指定包含ca-bundle.crt文件的目录不起作用:
openssl-1.0.1g> ./apps/openssl s_client -connect www.google.com:443 -CApath /opt/aspera/certs
Verify return code: 20 (unable to get local issuer certificate)
---
DONE
我认为这是因为我的文件夹不符合文档要求的内容(即包含PEM格式的CA证书的目录,每个文件包含一个证书,由哈希值命名).我的目录只有一捆证书.
如何拆分我的证书包以遵守OpenSSL的请求,即每个证书都在一个单独的文件中?如果也可以进行散列,则可以获得奖励(如果需要的话,如果所有证书都在单个文件中,我可以编写一个脚本来自己完成).
