内网环境如何检查证书链的完整性

最新推荐文章于 2024-05-29 20:04:46 发布
最新推荐文章于 2024-05-29 20:04:46 发布
阅读量3k 收藏
点赞数

一个正确配置的HTTPS网站应该在证书中包含完整的证书链。

比如以 openssl s_client-connect    x.x.x.x:443 命令来查看自己的网站配置。

其余内容可以无视,只看Certificate chain这一段:

---

Certificate chain

 0s:/1.3.6.1.4.1.311.60.2.1.3=CN/1.3.6.1.4.1.311.60.2.1.2=Guangdong/1.3.6.1.4.1.311.60.2.1.1=Shenzhen/businessCategory=PrivateOrganization/serialNumber=440301103308619/C=CN/ST=\xE5\xB9\xBF\xE4\xB8\x9C\xE7\x9C\x81/L=\xE6\xB7\xB1\xE5\x9C\xB3\xE5\xB8\x82/postalCode=518067/street=\xE6\xB7\xB1\xE5\x9C\xB3\xE5\xB8\x82\xE5\x8D\x97\xE5\xB1\xB1\xE5\x8C\xBA\xE5\x8D\x97\xE6\xB5\xB7\xE5\xA4\xA7\xE9\x81\x931057\xE5\x8F\xB7\xE7\xA7\x91\xE6\x8A\x80\xE5\xA4\xA7\xE5\x8E\xA6\xE4\xBA\x8C\xE6\x9C\x9FA\xE6\xA0\x8B502#/O=WoSign\xE6\xB2\x83\xE9\x80\x9A\xE7\x94\xB5\xE5\xAD\x90\xE8\xAE\xA4\xE8\xAF\x81\xE6\x9C\x8D\xE5\x8A\xA1\xE6\x9C\x89\xE9\x99\x90\xE5\x85\xAC\xE5\x8F\xB8/CN=www.wosign.com

   i:/C=CN/O=WoSign CALimited/CN=WoSign Class 4 EV Server CA

 1 s:/C=CN/O=WoSign CA Limited/CN=WoSignClass 4 EV Server CA

   i:/C=CN/O=WoSign CALimited/CN=Certification Authority ofWoSign

 2 s:/C=CN/O=WoSign CALimited/CN=Certification Authority of WoSign

   i:/C=IL/O=StartComLtd./OU=Secure Digital CertificateSigning/CN=StartComCertification Authority

---

其中012是证书链中每一级证书的序号。0是要被验证的网站所用的证书。其CN应该对应网站域名。

每一个序号后面,s开头的一行是指证书,i开头的一行是指此证书由谁签发。

0CN包含一个疑似中文域名,加一个英文域名www.wosign.com。它的签发者是WoSign CA Limited/CN=WoSign Class 4 EV ServerCA

1的证书就是0的签发者。而1自己又是由另一个证书Certification Authority ofWoSign签发的。

再看下一级,2。它说,CertificationAuthority ofWoSign是由StartCom签发的


 

所以这么一级级看下来,浏览器说,哦,2的签发者我认识啊,安装包里有提到,StartCom嘛。签名正确、验证无误,所以信任2。那么也应该信任2签发的11签发的0。所以这个网站可以信任。

 

--

 

然而,如果网站配置时,在crt文件中只包含了自己,而没包含一个完整到可以被浏览器内置数据验证的证书链,就有可能被浏览器拒绝。比如

 openssl s_client -connecttouko.moe:443 

---

Certificate chain

 0 s:/CN=touko.moe

   i:/C=CN/O=WoSign CALimited/CN=WoSign CA Free SSL CertificateG2

---

只有0一组。说明s行中的touko.moei行中的WoSign CA Free SSL CertificateG2签发。没了。


 

这就是此坑最神奇之处:浏览器此时是否验证失败,是不一定的。有2种情况:

A、浏览器自安装以来,从未见过这个i。那么验证会失败。

B、浏览器以前见过、并且验证过i,那么验证会成功。

 

通常管理员自己会去证书发行商的https网站买证书,浏览器就会验证,然后将验证成功的中间证书全都缓存下来,为以后节省时间。当管理员(错误地)配置完自己的网站,去浏览测试的时候,完全不会遇到问题。因为他的浏览器已经认识这个中间证书了。

https://csr.chinassl.net/这个网站可以申请免费的证书,以及可以检测外网证书链的完整性

wwoss
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
验证证书验证证书
01-22
验证证书 检查证书是不是在证书内的证书下发的。
SSL 证书 是否合法,怎么看?
u014454462的博客
06-06 1357
话不多说有很多工具可以帮我们检查: https://www.godaddy.com/ssl-checker https://www.geocerts.com/ssl-checker https://www.sslchecker.com/sslchecker https://www.digicert.com/help/ https://www.ssllabs.com/ssltest/ https:/...
内网安全之证书模版的管理
最新发布
weixin_45910629的博客
05-29 1239
证书模板 Certificate templates 是 CA 证书颁发机构的一个组成部分,是证书策略中的重要元素,是用于证书注册、使用和管理的一组规则和格式。当 CA 收到对证书的请求时,必须对该请求应用一组规则和设置,以执行所请求的功能,例如证书颁发或更新。这些规则可以是简单的,也可以是复杂的,也可以适用于所有用户或特定的用户组。证书模板是在 CA 上配置并应用于传入证书请求的一组规则和设置。证书模板还向客户机提供了关于如何创建和提交有效的证书请求的说明。基于证书模板的证书只能由企业 CA 颁发。
证书完整及解决方法
qq_42899518的博客
10-31 4769
问题:进行SSL证书检测时,证书完整导致证书安全等级下降为B 解决方法:添加中间证书 第一步: 第二步: 第三步: 第四步: 第五步: 第六步: ...
证书完整的解决方法
u014145985的博客
07-11 1万+
有一次在做安卓项目,打开安卓应用总是提示ssl证书报错,于是使用这个https://csr.chinassl.net/网站查询了下证书的状态,报告中指出,证书完整。。。为保障服务器证书在客户端的兼容性,服务器证书需要安装两张中级CA证书(不同品牌证书,可能只有一张中级证书),...
Linux验证数据完整性
qq_42836798的博客
01-27 654
1.常用3种方法 (1).sig签名文件 (2)计算MD5值 (3)计算SHA1值 2.使用.sig文件验证 (1)安装GPG (2)准备目标文件及签名文件.sig (3)检查指令格式 gpg --verify 签名文件 目标文件;例如 gpg --verify Xboard-4.4.2.tar.gz.sig Xboard-4.4.2.tag.gz (4)导入公钥 根据提示的公钥信息,输入公钥 gpg --recv-keys xxxxxxx (5)指定公钥服务器(可选) 如果由于缺失服务器而找不
内网环境k8s离线安装部署
10-31
在无法连接互联网的内网环境部署k8s详细教程。每步骤详细说明,纯傻瓜式。
linux下wookteam内网环境搭建教程及环境依赖包
02-04
wookteam内网环境搭建 含教程 含环境包 含依赖包 有了此包,从0到搭建完成wookteam。无需再找资源
内网安全检查总结.xmind
02-22
企业内网安全评估思路,基于红队的思路,对企业内网的安全问题进行一次全面的思考,本内容为思维导图,仅提供思路,不提供具体的实现方式。
D-Link路由器内网异常的检查步骤
10-02
网络已经深入到我们的工作学习、日常生活中,畅享网络带来的便捷,而路由器是实现与网络连接的主要设备,其设置的好坏直接影响到网络的质量,本文主要给大家详细介绍D-Link路由器出现故障时,我们应该如何排查
内网电脑适用的Python环境安装包Anaconda
11-03
专为内网电脑选择!Win7,64位,python3.8,包含了conda、Python等190多个科学包及其依赖项。常见的科学计算类的库都包含在里面了,使得安装比常规python安装要容易,关键是有Spyder和Jupyter notebook。
windows下查看系统证书(二)
芒果黑的博客
10-13 2832
之前讲了通过管理控制台查看系统的证书,现在介绍另外一种方法,通过Internet选项进行查看 1)打开IE浏览器,打开右上角的设置,选择Internet选项 2)选择内容,选择证书 3)就可以看到系统中安装的用户证书,系统信任的根证书等 除了通过IE浏览器,还可以通过控制面板找到Internet选项 1)进入控制面板,选择网络和Internet 2)选择Internet选项 后续步骤和上面一样 ...
Java获取完整SSL证书信息(包含完整证书)
热门推荐
张三博客
09-16 2万+
Java通过X509获取完整证书信息包含受信任的和不受信任的证书,包含完整证书使用者、签发者、签名算法公钥、证书版本、证书品牌等信息
证书-证书校验
大力海棠的博客
02-03 8632
先来打开一个网站的证书看看: 它的结构是,顶端根证书DigiCert,中间证书GeoTrust RSA CA 2018,和最下级的服务器证书*.csdn.net。为什么会有中间证书?原因上一篇日志说过,由于权威的CA机构数量不多,如果所有的服务器申请证书都将CSR证书请求文件发送到CA机构,那么CA机构的工作量就会非常大,因此CA机构采取授权二级机构的方式来管理证书申请,经授权的二级机构也...
服务器完整证书,解决SSL证书完整问题
weixin_36430300的博客
07-29 1947
前天主机吧博客的SSL证书到期了,主机吧博客使用的一直都是Let’s Encrypt免费证书,有效期为3个月,到期后都会默认续期,不过主机吧使用了百度的CDN,一但到期后就访问不了,即使源站可以用,应该是Let’s Encrypt免费的证书续期后密钥啥的也变了,导致CDN无法正常用,为了省去每几个月更新证书的麻烦,主机吧买一次性买了两年的Comodo证书。不过主机吧部署后,看到可以访问也没多在意,...
TLS握手证书的校验
chinamen1的博客
02-24 1053
看一遍忘一遍,还是自己写一遍,看看这次能记多久。在TLS握手过程中,通过证书校验认证服务端的身份和交换加密秘钥,握手完成之后后续就可以进行加密数据传输。在浏览器地址栏上点击锁的图标,能打开查看证书的详细信息。首先可以看到证书包含了多个层级,最下层的是我们直接访问的网站的服务证书,最上层是根证书。每个证书都属于一个机构组织。除了根证书是由根CA自己签发给自己的,其他证书都是由上一级组织用上一级的证书签发出来的,所以形成了层级结构。点开细节可以看到证书的更多信息,主要看证书包含什么信息?
验证SSL证书安全与否
shelutai的博客
02-23 327
输入域名,可以查看证书信息,tsl是否有效 证书是否完整。 https://www.digicert.com/help/
查看域名的证书是否过期/有效的方法
qq_17335549的博客
05-08 2865
注意,如果我们在开发项目的时候,我们前端的网页地址是https://a.test.com。同时用的后端服务是https://b.test.com. 由于前者是可以在浏览器访问的,所以用上述的方法可以查看。但是后端给的服务用浏览器直接访问是404的。答案是,一样的方法。即便是404的网址,只要域名解析了,就可以使用这种方法。1. 直接用浏览器打开要查询的网址,比如https://baidu.com,然后点击。知识点:要学会分析一个域名是否已经解析,也就是dns解析能否解析出来。
openssl的证书验证
Netfilter
04-01 1万+
使用openssl验证证书可以用以下命令:debian:/home/zhaoya/openssl#openssl verify -CAfile ROOT_CERT USER_CERT其中的ROOT_CERT可以包含很多证书,可以用cat命令将多级的ca证书合并到一个文件里面,然后程序启动以后会加载ROOT_CERT,ROOT_CERT会在内存中形成一个堆栈结构,各个证书的顺序和文件里面的

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值