Список всех доступных сертификатов ssl ca

Мой клиент git утверждает

error: Peer's Certificate issuer is not recognized.

Это означает, что он не может найти соответствующий ключ сервера ssl в глобальной системной связке ключей. Я хочу проверить это, посмотрев на список всех общесистемных доступных ssl-ключей в системе gentoo linux. Как я могу получить этот список?

Вам нужны не ключи SSL, это центры сертификации, а точнее их сертификаты.

Вы можете попробовать:

awk -v cmd='openssl x509 -noout -subject' '
    /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt

Чтобы получить «предмет» каждого сертификата CA в /etc/ssl/certs/ca-certificates.crt

Помните, что иногда вы получаете эту ошибку, когда серверы SSL забывают предоставить промежуточные сертификаты.

Используйте openssl s_client -showcerts -connect the-git-server:443для получения списка отправляемых сертификатов.

Не уверен насчет Gentoo, но большинство дистрибутивов помещают свои программные ссылки на сертификаты в общесистемное расположение по адресу /etc/ssl/certs.

• Ключевые файлы входят в /etc/ssl/private
• Предоставленные системой фактические файлы расположены по адресу /usr/share/ca-certificates
• Таможенные сертификаты идут в /usr/local/share/ca-certificates

Всякий раз, когда вы помещаете сертификат в один из вышеупомянутых путей, запускайте update-ca-certificatesдля обновления /etc/ssl/certsсписков.

У меня было требование перечислить все сертификаты на нашем сервере и уведомить, если они истекают. Мы придумали эту команду:

locate .pem | grep "\.pem$" | xargs -I{} openssl x509 -issuer -enddate -noout -in {}