在Ubuntu上使用OpenSSL验证证书步骤如下:
-
安装OpenSSL
sudo apt update && sudo apt install openssl -
验证证书链
- 合并证书文件(服务器证书+中间证书+根证书):
cat server.crt intermediate.crt root.crt > fullchain.crt - 执行验证:
openssl verify -CAfile root.crt fullchain.crt若输出
OK则链有效。
- 合并证书文件(服务器证书+中间证书+根证书):
-
检查证书有效期
openssl x509 -in certificate.crt -noout -dates输出
notBefore和notAfter字段确认有效期。 -
查看证书详细信息
openssl x509 -in certificate.crt -noout -text显示颁发者、主题、签名算法等信息。
-
验证证书签名
openssl x509 -in certificate.crt -noout -modulus | openssl md5 openssl rsa -in certificate.key -noout -modulus | openssl md5两次MD5值一致则签名有效(需用证书公钥验证)。
-
检查证书吊销状态(OCSP/CRL)
- OCSP:
openssl ocsp -issuer issuer.crt -cert certificate.crt -url http://ocsp.example.com - CRL:
openssl crl -in crl.pem -noout -text检查证书序列号是否在吊销列表中。
- OCSP:
说明:替换命令中的文件名为实际路径,确保文件格式正确(如.crt或.pem)。