Como deve ficar claro na página do manual do seu sistema ou on-line , supondo que o certificado da CA tenha sido especificado no seu ca.cnf é ca.crt e é o certificado raiz, a função básica que você quer é
openssl cms -verify -binary -content vmlinuz -inform der -in vmlinuz.sig -CAfile ca.crt
exceto por padrão, requer ExtendedKeyUsage se presente inclui "emailProtection" id-pkix 3 4 não (somente) codeSigning; para substituir isso, adicione -purpose any
.
Se a hierarquia de certificados for mais complicada - ou seja, se ela usar uma cadeia -, haverá vários casos, dependendo do (s) certificado (s) incluído (s) no arquivo de assinatura com -certfile
, que certificado (s) estão em seu arquivo trustore padrão ou especificado e / ou em -certfile
se usado e se você especificar -partial_chain
em 1.0.2 up, e sem uma pergunta mais específica eu não tenho tempo para escrever tanto. / p>