Mi cliente git afirma
error: Peer's Certificate issuer is not recognized.
Eso significa que no puede encontrar la clave del servidor SSL correspondiente en el conjunto de claves del sistema global. Quiero verificar esto mirando la lista de todas las claves ssl disponibles en todo el sistema en un sistema gentoo linux. ¿Cómo puedo obtener esta lista?
Respuestas:
Lo que desea no son las claves SSL, son las autoridades de certificación y, más precisamente, sus certificados.
Tu podrías intentar:
awk -v cmd='openssl x509 -noout -subject' '
/BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt
Para obtener el "asunto" de cada certificado de CA en /etc/ssl/certs/ca-certificates.crt
Tenga en cuenta que a veces, obtiene ese error cuando los servidores SSL olvidan proporcionar los certificados intermedios.
Use openssl s_client -showcerts -connect the-git-server:443para obtener la lista de certificados que se envían.
trust listde paquete de p11-kit es esencialmente el mismo?
No estoy seguro acerca de Gentoo, pero la mayoría de las distribuciones colocan sus certificados soft-link en la ubicación de todo el sistema en /etc/ssl/certs.
/etc/ssl/private/usr/share/ca-certificates/usr/local/share/ca-certificatesSiempre que coloque un certificado en una de las rutas mencionadas anteriormente, ejecute update-ca-certificatespara actualizar las /etc/ssl/certslistas.
/etc/ssl/certses la carpeta correcta en gentoo. Pero los archivos no son buenos para leer para los ojos humanos.
update-ca-certificatescon un adicional s(no puedo editar esto yo mismo, ya que es solo una edición de un carácter).
Tenía el requisito de enumerar todos los certificados en nuestro servidor y notificar si vencen. Se nos ocurrió este comando:
locate .pem | grep "\.pem$" | xargs -I{} openssl x509 -issuer -enddate -noout -in {}