Estou buscando uma cadeia de certificados com openssl s_client -showcerts -connect host.whatever:443 </dev/null .
Além disso, eu gostaria de extrair o certificado raiz da cadeia programaticamente no formato -----BEGIN CERTIFICATE-----.....-----END CERTIFICATE-----
Alguém sabe de uma funcionalidade que é capaz disso e já vem com o OpenSSL?
openssl s_client mostra apenas a cadeia de certificados enviada pelo cliente. Essa cadeia geralmente não inclui o próprio certificado raiz. Em vez disso, o certificado raiz está contido apenas no armazenamento confiável local e não é enviado pelo servidor. Tanto quanto eu sei, não há nenhuma maneira embutida para obter o certificado raiz para uma conexão usando a linha de comando openssl.
Não faria sentido o servidor web enviar o certificado raiz e o navegador deveria ignorá-lo se fosse enviado (DEVE estar no armazenamento local). Se for um certificado CA intermediário, você poderá recuperá-lo da maneira que você já está usando.