linux – 如何将CA证书捆绑包拆分为单独的文件?

前端之家收集整理的这篇文章主要介绍了linux – 如何将CA证书捆绑包拆分为单独的文件?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在使用OpenSSL,需要一个理智的默认CA列表.我正在使用Mozilla的可信CA列表,如 bundled by cURL.但是,我需要拆分此CA证书捆绑包,因为 OpenSSL documentation says

If CApath is not NULL,it points to a directory containing CA certificates in PEM format. The files each contain one CA certificate. The files are looked up by the CA subject name hash value,which must hence be available.

例如,使用ca-bundle.crt文件直接工作正常:

openssl-1.0.1g> ./apps/openssl s_client -connect www.google.com:443 -CAfile /home/user/certs/ca-bundle.crt
...
    Verify return code: 0 (ok)
---
DONE

但指定包含ca-bundle.crt文件的目录不起作用:

openssl-1.0.1g> ./apps/openssl s_client -connect www.google.com:443 -CApath /opt/aspera/certs
    Verify return code: 20 (unable to get local issuer certificate)
---
DONE

我认为这是因为我的文件夹不符合文档要求的内容(即包含PEM格式的CA证书的目录,每个文件包含一个证书,由哈希值命名).我的目录只有一捆证书.

如何拆分我的证书包以遵守OpenSSL的请求,即每个证书都在一个单独的文件中?如果也可以进行散列,则可以获得奖励(如果需要的话,如果所有证书都在单个文件中,我可以编写一个脚本来自己完成).

解决方法

你可以在适当的目录中使用awk拆分包,如下所示:
awk 'BEGIN {c=0;} /BEGIN CERT/{c++} { print > "cert." c ".pem"}' < ca-bundle.pem

然后,通过运行OpenSSL附带的c_rehash实用程序来创建OpenSSL想要的链接

c_rehash .

注意:在非Linux平台上使用’gawk’ – 如上所述依赖于GNU特定功能.

猜你在找的Linux相关文章