証明書チェーンの注文を手動で解決するにはどうすればよいですか？

Question

証明書から始めましょう。

Opensslを使用して、次のように出力できます。

openssl x509 -in cert.pem -text -noout

そして、Validity、Issuer、Subjectなどの出力とAuthority Key IdentifierおよびSubject Key Identifier。

これらのフィールドを使用して、チェーン内の次の証明書を取得するにはどうすればよいですか？

そして、次の証明書を取得したら、その次の証明書がどうあるべきかなどを考えます。

基本的には、完全なチェーンを作成し、EC2ロードバランサーの正しい順序で物事を取得したいと考えています。 Network Solutionsは、機能するバンドルを提供するだけではないようです。彼らはあなたに個々の証明書を与えます、そして私はEC2のためにたくさんの異なった注文を試みましたが、それがまだ機能するようにしていません。私の最後の賭けは、opensslを試して、推測するのではなく手動でこれを解決することです。

Shane Madden · Accepted Answer

子キーのopenssl出力のX509v3 Authority Key Identifierは、署名キーのX509v3 Subject Key Identifierと一致します。

たとえば、このサイトのSSL証明書とその親証明書の場合：

# openssl x509 -text -noout -in subject.pem ... Subject: C=US, ST=NY, L=New York, O=Stack Exchange, Inc., CN=*.stackexchange.com ... X509v3 Authority Key Identifier: keyid:51:68:FF:90:AF:02:07:75:3C:CC:D9:65:64:62:A2:12:B8:59:72:3B X509v3 Subject Key Identifier: 5A:C1:42:63:C2:62:13:B3:9D:94:84:AA:32:1E:17:CB:6D:A3:86:7B # openssl x509 -text -noout -in parent.pem ... Subject: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert SHA2 High Assurance Server CA ... X509v3 Subject Key Identifier: 51:68:FF:90:AF:02:07:75:3C:CC:D9:65:64:62:A2:12:B8:59:72:3B X509v3 Authority Key Identifier: keyid:B1:3E:C3:69:03:F8:BF:47:01:D4:98:26:1A:08:02:EF:63:64:2B:C3

51:68:FF:90:AF:02:07:75:3C:CC:D9:65:64:62:A2:12:B8:59:72:3Bは、子証明書にどの証明書に署名したかを確立するものです。これを使用して、正しい認証局証明書を見つけることができるはずです。

Beachhouse · Answer

中間証明書はドメインや証明書に固有のものではないことに注意することが重要です。したがって、発行されたすべての証明書は、あなたのものと同じで、まったく同じ中間証明書を持っています。

それらは、小切手のルーティング番号のように考えることができます。銀行コードは必要ですが、実際には銀行よりも銀行についての詳細が記載されています。アカウント番号、またはこの場合の証明書は、あなたに固有のものです。

中間証明書の一般的な性質のため、次のようなWebサイトがあります。

https://www.ssl2buy.com/wiki/ssl-intermediate-and-root-ca-bundle

これには、さまざまな証明書発行者用に事前にバンドルされた（正しい順序で）すべての中間証明書があります。