Meu cliente git reivindica
error: Peer's Certificate issuer is not recognized.
Isso significa que não é possível encontrar a chave do servidor ssl correspondente no conjunto de chaves do sistema global. Eu quero verificar isso olhando para a lista de todas as chaves ssl disponíveis em todo o sistema em um sistema gentoo linux. Como posso obter esta lista?
Respostas:
Não são as chaves SSL que você deseja, são as autoridades de certificação e, mais precisamente, os respectivos certificados.
Você poderia tentar:
awk -v cmd='openssl x509 -noout -subject' '
/BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt
Para obter o "assunto" de cada certificado CA em /etc/ssl/certs/ca-certificates.crt
Cuidado, às vezes, você recebe esse erro quando os servidores SSL esquecem de fornecer os certificados intermediários.
Use openssl s_client -showcerts -connect the-git-server:443para obter a lista de certificados enviados.
trust listpartir pacote p11-kit é essencialmente o mesmo?
Não tenho certeza sobre o Gentoo, mas a maioria das distros coloca seus certificados em links diretos em todo o sistema em /etc/ssl/certs.
/etc/ssl/private/usr/share/ca-certificates/usr/local/share/ca-certificatesSempre que você colocar um certificado em um dos caminhos mencionados acima, execute update-ca-certificatesa atualização de /etc/ssl/certslistas.
/etc/ssl/certsé a pasta correta no gentoo. Mas os arquivos não são fáceis de ler para os olhos humanos.
update-ca-certificatescom um adicional s(não é possível editar isso sozinho, pois é apenas uma edição de um caractere).
Eu tinha o requisito de listar todos os certificados em nosso servidor e notificar se eles devem expirar. Criamos este comando:
locate .pem | grep "\.pem$" | xargs -I{} openssl x509 -issuer -enddate -noout -in {}