لقد كتب الكثير حول تثبيت شهادات SSL على خادم ويب ، وعادةً ما لا يكون هذا السؤال صعبًا على مسؤولي النظام. ومع ذلك ، قبل التثبيت مباشرةً ، من الجيد إجراء بعض عمليات التحقق حتى لا تفكر في "شهادة أمان الموقع غير موثوقة!" (شهادة أمان الموقع غير موثوق بها!). وينطبق هذا بشكل خاص عندما تتلقى شهادات ليس من المسجل ، ولكن من العميل ، الذي يمكنه ، على سبيل المثال ، مزج المفاتيح الخاصة أو إرسال شهادة بتنسيق محرر النصوص الخاص به مع إضافة تنسيق القمامة.
وبالتالي ، لكي يعمل كل شيء على الفور ، يُنصح بإجراء بعض الفحوصات قبل تثبيت شهادة SSL.
لذا ، دعنا نبدأ ...
1. التحقق من سلامة الشهادة:
openssl x509 -noout -modulus -in certificate.crt
إذا حصلنا على الوحدة النمطية الخاصة به عند الإخراج ، فلن يتم كسر سلامة الشهادة. خلاف ذلك ، سيكون هناك خطأ: "غير قادر على تحميل الشهادة".
2. وبالمثل ، نتحقق من سلامة المفتاح الخاص:
openssl rsa -noout -modulus -in privatekey.key
3. ننظر إلى فترة صلاحية الشهادة:
openssl x509 -noout -text -in certificate.crt | grep -e "Not Before" -e "Not After"
4.
تحقق من شهادة الإلغاء .
5. التحقق من مطابقة الشهادة والمفتاح الخاص:
openssl x509 -noout -modulus -in certificate.crt | openssl md5 openssl rsa -noout -modulus -in privatekey.key | openssl md5
إذا كانت النتائج هي نفسها ، فإن الشهادة والمفتاح الخاص يتطابقان مع بعضهما البعض.
الأتمتة
إذا كنت بحاجة إلى تثبيت شهادتي SSL سنويًا ، فإن الأوامر المذكورة أعلاه كافية تمامًا. ومع ذلك ، عندما يتعين عليك العمل مع الشهادات بانتظام ، فمن الأفضل استخدام البرامج النصية الجاهزة. كمثال على ذلك ، أجرؤ على اقتراح
تطوري الخاص تحت باش. ستقوم النصوص البرمجية بكل هذه الإجراءات دون إيماءات غير ضرورية من جانبك (تم اختبارها في Ubuntu ، ولكن على الأرجح ستعمل في توزيعات Linux الأخرى).
wget https://raw.githubusercontent.com/o-pod/security/master/ssl-check-matching.sh chmod a+x ssl-check-matching.sh wget https://raw.githubusercontent.com/o-pod/security/master/ssl-check-revoc.sh chmod a+x ssl-check-revoc.sh
التحقق من الشهادة والمفتاح الخاص للتكامل والامتثال لبعضهما البعض:
./ssl-check-matching.sh certificate.crt privatekey.key -v
التحقق من مدة صلاحية الشهادة وغيابها في قوائم الإبطال:
./ssl-check-revoc.sh -f certificate.crt -v
تغطي الاختبارات الموضحة أعلاه مشكلات تثبيت شهادة SSL التي واجهتها في الممارسة العملية. ولكن إذا كنت تعتقد أن الأمر يستحق التحقق من أي معلمات أخرى ، فشارك في التعليقات ، سأكون ممتنًا.