Mein Git-Kunde behauptet
error: Peer's Certificate issuer is not recognized.
Dies bedeutet, dass der entsprechende SSL-Serverschlüssel im globalen Systemschlüsselring nicht gefunden werden kann. Ich möchte dies überprüfen, indem ich mir die Liste aller systemweit verfügbaren SSL-Schlüssel auf einem Gentoo-Linux-System ansehe . Wie kann ich diese Liste bekommen?
Antworten:
Es sind nicht die von Ihnen gewünschten SSL-Schlüssel, sondern die Zertifizierungsstellen und genauer gesagt deren Zertifikate.
Du könntest es versuchen:
awk -v cmd='openssl x509 -noout -subject' '
/BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt
So erhalten Sie den "Betreff" jedes CA-Zertifikats in /etc/ssl/certs/ca-certificates.crt
Beachten Sie, dass manchmal dieser Fehler auftritt, wenn SSL-Server vergessen, die Zwischenzertifikate bereitzustellen.
Verwenden Sie openssl s_client -showcerts -connect the-git-server:443diese Option , um die Liste der gesendeten Zertifikate abzurufen.
trust listvon p11-Kit - Paket ist im Wesentlichen das gleiche?
Ich bin mir nicht sicher über Gentoo, aber die meisten Distributionen legen ihre Zertifikate als Soft-Link an einem systemweiten Ort ab /etc/ssl/certs.
/etc/ssl/private/usr/share/ca-certificates/usr/local/share/ca-certificatesWenn Sie ein Zertifikat in einen der oben genannten Pfade einfügen, führen Sie update-ca-certificatesdie Aktualisierung der /etc/ssl/certsListen aus.
/etc/ssl/certsist der richtige Ordner in Gentoo. Aber die Dateien sind für menschliche Augen nicht gut zu lesen.
update-ca-certificatesmit einem zusätzlichen s(kann nicht selbst bearbeitet werden, da es nur eine Ein-Zeichen-Bearbeitung ist).
Ich musste alle Zertifikate auf unserem Server auflisten und benachrichtigen, wenn sie ablaufen. Wir haben uns diesen Befehl ausgedacht:
locate .pem | grep "\.pem$" | xargs -I{} openssl x509 -issuer -enddate -noout -in {}