Muito foi escrito sobre a instalação de certificados SSL em um servidor da Web e, geralmente, essa pergunta não é difícil para os administradores de sistema. No entanto, imediatamente antes da instalação, é bom fazer algumas verificações para que você não contemple o irritante "O certificado de segurança do site não é confiável!" No seu navegador (O certificado de segurança do site não é confiável!). Isso é especialmente verdadeiro quando você recebe certificados não do registrador, mas do cliente, que pode, por exemplo, misturar chaves privadas ou enviar um certificado no formato de seu editor de texto com a adição de lixo de formatação.
Portanto, para que tudo funcione imediatamente, é recomendável fazer algumas verificações antes de instalar o certificado SSL.
Então, vamos começar ...
1. Verifique a integridade do certificado:
openssl x509 -noout -modulus -in certificate.crt
Se obtivermos seu módulo na saída, a integridade do certificado não será quebrada. Caso contrário, haverá um erro: "não é possível carregar o certificado".
2. Da mesma forma, verificamos a integridade da chave privada:
openssl rsa -noout -modulus -in privatekey.key
3. Examinamos o período de validade do certificado:
openssl x509 -noout -text -in certificate.crt | grep -e "Not Before" -e "Not After"
4.
Verifique o certificado para revogação .
5. Verifique a conformidade do certificado e da chave privada:
openssl x509 -noout -modulus -in certificate.crt | openssl md5 openssl rsa -noout -modulus -in privatekey.key | openssl md5
Se os resultados forem os mesmos, o certificado e a chave privada coincidirão.
Automação
Se você precisar instalar alguns certificados SSL por ano, os comandos acima serão suficientes. No entanto, quando você precisa trabalhar com certificados regularmente, é melhor usar scripts prontos. Como exemplo, eu ousaria sugerir
meu próprio desenvolvimento no bash. Os scripts farão todas essas ações sem gestos desnecessários de sua parte (testados no Ubuntu, mas provavelmente funcionarão em outras distribuições Linux).
wget https://raw.githubusercontent.com/o-pod/security/master/ssl-check-matching.sh chmod a+x ssl-check-matching.sh wget https://raw.githubusercontent.com/o-pod/security/master/ssl-check-revoc.sh chmod a+x ssl-check-revoc.sh
Verificando o certificado e a chave privada quanto à integridade e conformidade entre si:
./ssl-check-matching.sh certificate.crt privatekey.key -v
Verificação do período de validade do certificado e sua ausência nas listas de revogação:
./ssl-check-revoc.sh -f certificate.crt -v
Os testes descritos acima cobrem os problemas de instalação do certificado SSL que eu já encontrei na prática. Mas se você acha que vale a pena conferir outros parâmetros, compartilhe nos comentários, serei grato.