Autenticação de cliente SSL / TLS: como ver nomes de CA de certificado de cliente aceitáveis?

Navegue suas respostas
2

Eu tenho um serviço HTTPS que usa autenticação de cliente SSL / TLS e exige que um certificado seja apresentado. Como posso obter uma lista de nomes de CA de certificado de cliente aceitáveis usando openssl s_client sem apresentar um certificado de cliente?

Se eu tentar sem um certificado de cliente, recebo o seguinte erro: 

4967:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:
    
por Alastair McCormack 06.09.2017 / 11:44

2 respostas

3

Você precisa usar a opção -prexit :

Por exemplo, 

openssl s_client -connect server:8443 -prexit

print session information when the program exits. This will always attempt to print out information even if the connection fails. Normally information will only be printed out once if the connection succeeds. This option is useful because the cipher in use may be renegotiated or the connection may fail because a client certificate is required or is requested only after an attempt is made to access a certain URL. Note: the output produced by this option is not always accurate because a connection might never have been established.

    
por 06.09.2017 / 11:44
0

Use o seguinte comando:

openssl s_client -connect website_fqdn:443 -state -nbio 2>&1

A saída conterá 'Nomes aceitáveis da CA do certificado de cliente'

    
por 22.09.2017 / 16:33

Tags

Reinicie o contêiner do docker no modo privilegiado Quando se preocupar com as configurações do PHP / MySQL durante a migração do servidor?