1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.CATALAN

  • Comprovar signatura de certificat x509

    From Narcis Garcia@21:1/5 to All on Wed Dec 27 20:40:01 2023
    Bones i festives, per qui pugui.

    Vaig crear un certificat auto-signat (clau privada i clau pública), com
    a «Autoritat de Certificació» (CA), per a poder generar els meus
    certificats signats amb openssl:

    /etc/ssl/private/CA@CA.key
    /etc/ssl/certs/CA@CA.pem

    Aleshores he creat certificats signats per la CA com:
    /etc/ssl/private/Un.key
    /etc/ssl/certs/Un.pem
    /etc/ssl/private/Dos.key
    /etc/ssl/certs/Dos.pem

    El què passa és que tot això ho vaig fer de forma caòtica i ara em
    sembla que accidentalment vaig crear diferents CA i tot plegat ha perdut coherència.

    Algú sap com verificar, per línia de comandes, que un certificat
    d'usuari ha estat signat amb determinada clau d'autoritat?

    Un exemple imaginari:
    $ openssl --verifica-signatura /etc/ssl/certs/CA@CA.pem
    /etc/ssl/certs/Un.pem

    He cercat per Intenret, i trobo explicacions de què es treuen uns bits
    del «Un.pem» i es comparen amb uns altres bits del CA@CA.pem i em perdo.

    Gràcies.

    --

    Narcis Garcia

    __________
    I'm using this dedicated address because personal addresses aren't
    masked enough at this mail public archive. Public archive administrator
    should remove and omit any @, dot and mailto combinations against
    automated addresses collectors.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Xavier Drudis Ferran@21:1/5 to All on Wed Dec 27 21:30:02 2023
    El Wed, Dec 27, 2023 at 08:28:01PM +0100, Narcis Garcia deia:
    Bones i festives, per qui pugui.

    Vaig crear un certificat auto-signat (clau privada i clau pública), com a «Autoritat de Certificació» (CA), per a poder generar els meus certificats signats amb openssl:

    /etc/ssl/private/CA@CA.key
    /etc/ssl/certs/CA@CA.pem

    Aleshores he creat certificats signats per la CA com:
    /etc/ssl/private/Un.key
    /etc/ssl/certs/Un.pem
    /etc/ssl/private/Dos.key
    /etc/ssl/certs/Dos.pem

    El què passa és que tot això ho vaig fer de forma caòtica i ara em sembla que accidentalment vaig crear diferents CA i tot plegat ha perdut coherència.

    Algú sap com verificar, per línia de comandes, que un certificat d'usuari ha
    estat signat amb determinada clau d'autoritat?

    Un exemple imaginari:
    $ openssl --verifica-signatura /etc/ssl/certs/CA@CA.pem
    /etc/ssl/certs/Un.pem

    He cercat per Intenret, i trobo explicacions de què es treuen uns bits del «Un.pem» i es comparen amb uns altres bits del CA@CA.pem i em perdo.

    Gràcies.


    de memòria diria que era

    openssl verify -CAfile /etc/ssl/certs/CA@CA.pem /etc/ssl/certs/Un.pem

    on amb -CAfile la concatenació de els PEMs dels certificats de les CAs intermitges si n'hi ha i la CA arrel.

    Alternativament li pots passar un CApath amb un directori on hi hagi certificats de CAs,

    si no, man openssl-verify

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Narcis Garcia@21:1/5 to All on Thu Dec 28 08:30:01 2023
    El 27/12/23 a les 21:06, Xavier Drudis Ferran ha escrit:
    El Wed, Dec 27, 2023 at 08:28:01PM +0100, Narcis Garcia deia:
    Bones i festives, per qui pugui.

    Vaig crear un certificat auto-signat (clau privada i clau pública), com a >> «Autoritat de Certificació» (CA), per a poder generar els meus certificats
    signats amb openssl:

    /etc/ssl/private/CA@CA.key
    /etc/ssl/certs/CA@CA.pem

    Aleshores he creat certificats signats per la CA com:
    /etc/ssl/private/Un.key
    /etc/ssl/certs/Un.pem
    /etc/ssl/private/Dos.key
    /etc/ssl/certs/Dos.pem

    El què passa és que tot això ho vaig fer de forma caòtica i ara em sembla
    que accidentalment vaig crear diferents CA i tot plegat ha perdut
    coherència.

    Algú sap com verificar, per línia de comandes, que un certificat d'usuari ha
    estat signat amb determinada clau d'autoritat?

    Un exemple imaginari:
    $ openssl --verifica-signatura /etc/ssl/certs/CA@CA.pem
    /etc/ssl/certs/Un.pem

    He cercat per Intenret, i trobo explicacions de què es treuen uns bits del >> «Un.pem» i es comparen amb uns altres bits del CA@CA.pem i em perdo.

    Gràcies.


    de memòria diria que era

    openssl verify -CAfile /etc/ssl/certs/CA@CA.pem /etc/ssl/certs/Un.pem

    on amb -CAfile la concatenació de els PEMs dels certificats de les CAs intermitges si n'hi ha i la CA arrel.

    Alternativament li pots passar un CApath amb un directori on hi hagi certificats de CAs,

    si no, man openssl-verify


    Funciona exactament com has escrit.
    Gràcies.

    --

    Narcis Garcia

    __________
    I'm using this dedicated address because personal addresses aren't
    masked enough at this mail public archive. Public archive administrator
    should remove and omit any @, dot and mailto combinations against
    automated addresses collectors.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)