Мой клиент git утверждает
error: Peer's Certificate issuer is not recognized.
Это означает, что он не может найти соответствующий ключ сервера ssl в глобальной системной связке ключей. Я хочу проверить это, посмотрев на список всех общесистемных доступных ssl-ключей в системе gentoo linux. Как я могу получить этот список?
Ответы:
Вам нужны не ключи SSL, это центры сертификации, а точнее их сертификаты.
Вы можете попробовать:
awk -v cmd='openssl x509 -noout -subject' '
/BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt
Чтобы получить «предмет» каждого сертификата CA в /etc/ssl/certs/ca-certificates.crt
Помните, что иногда вы получаете эту ошибку, когда серверы SSL забывают предоставить промежуточные сертификаты.
Используйте openssl s_client -showcerts -connect the-git-server:443для получения списка отправляемых сертификатов.
trust listиз пакета p11-набора , по существу , то же самое?
Не уверен насчет Gentoo, но большинство дистрибутивов помещают свои программные ссылки на сертификаты в общесистемное расположение по адресу /etc/ssl/certs.
/etc/ssl/private/usr/share/ca-certificates/usr/local/share/ca-certificatesВсякий раз, когда вы помещаете сертификат в один из вышеупомянутых путей, запускайте update-ca-certificatesдля обновления /etc/ssl/certsсписков.
/etc/ssl/certsправильная папка в gentoo. Но файлы плохо читаются человеческими глазами.
update-ca-certificatesс дополнительным s(не могу редактировать это сам, так как это просто односимвольное редактирование).
У меня было требование перечислить все сертификаты на нашем сервере и уведомить, если они истекают. Мы придумали эту команду:
locate .pem | grep "\.pem$" | xargs -I{} openssl x509 -issuer -enddate -noout -in {}