我正在使用OpenSSL,需要一个理智的默认CA列表.我正在使用由cURL捆绑的 Mozilla的可信CA列表.但是,我需要拆分此CA证书捆绑包,因为OpenSSL文档说:
如果CApath不为NULL,则它指向包含PEM格式的CA证书的目录.每个文件都包含一个CA证书.这些文件由CA主题名称哈希值查找,因此必须可用.
例如,ca-bundle.crt
直接使用该文件可以正常工作:
openssl-1.0.1g> ./apps/openssl s_client -connect www.google.com:443 -CAfile /home/user/certs/ca-bundle.crt ... Verify return code: 0 (ok) --- DONE
但指定包含该ca-bundle.crt
文件的目录不起作用:
openssl-1.0.1g> ./apps/openssl s_client -connect www.google.com:443 -CApath /opt/aspera/certs Verify return code: 20 (unable to get local issuer certificate) --- DONE
我认为这是因为我的文件夹不符合文档要求的内容(即包含PEM格式的CA证书的目录,每个文件包含一个证书,由哈希值命名).我的目录只有一组证书.
如何拆分我的证书包以遵守OpenSSL的请求,即每个证书都在一个单独的文件中?如果可以进行散列也可以获得奖励(尽管如果需要的话,如果所有证书都在单个文件中,我可以自己编写脚本).