Abaixo do comando, é possível gerar o pino Base64 somente para o primeiro certificado de profundidade. Mas precisa gerar pin para toda a profundidade do certificado.
openssl s_client -servername example.com -connect example.com:443 -showcerts
| openssl x509 -pubkey -noout | openssl rsa -pubin -outform der | openssl dgst -sha256 -binary | openssl enc -base64
Dá apenas uma chave em vez de três,
cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=
Então, como podemos gerar todos os três níveis de pinos?
Embora eu concorde mais com Romeo que você deve ter os arquivos de certificados no servidor, se você fizer precisar processar os vários certs de um s_client você pode fazer algo como:
openssl s_client ..... -showcerts \
| awk '/-----BEGIN/{f="cert."(n++)} f{print>f} /-----END/{f=""}'
# or input from bundle or chain file
for c in cert.*; do
openssl x509 <$c -noout -pubkey .....
done
rm cert.*
# use better temp name/location if you want
Você pode extrair o emissor do certificado (CN do emissor). Mas a partir deste ponto você deve obter este certificado manualmente, pesquisando no site do emissor. Se você tiver acesso ao servidor da web, encontrará no sistema de arquivos os certificados e executará seu script sobre os arquivos com certificados de CA