从openssl s_server

时间:2019-01-07 22:58:03

标签: ssl openssl command x509 pem

我想查看连接到我的虚拟openssl服务器的客户端证书的证书subjectAltName。到目前为止,这是我的东东... 

openssl s_server -msg -cert ./crt.pem -key ./key.pem -port 880

然后我与客户建立联系,并得到以下信息:

Using default temp DH parameters                                                                                                                                                                                              
ACCEPT                                                                                                                                                                                                                        
<<< ??? [length 0005]                                                                                                                                                                                                         
11 03 01 01 6f                                                                                                                                                                                                            
<<< TLS 1.2 Handshake [length 006f], ClientHello                                                                                                                                                                              
01 00 00 6b 03 03 8a dc 6d 06 47 ac a6 01 99 cb                                                                                                                                                                           
c8 8f 11 65 11 8c 1a 0a ff bd d1 ac 26 23 83 24                                                                                                                                                                           
1d 99 97 6f 31 d1 00 00 1c 00 91 cc aa 00 9e 00                                                                                                                                                                           
1b 00 67 00 11 00 33 00 9d 00 9c 00 3d 00 3c 00                                                                                                                                                                           
35 00 2f 00 ff 01 00 00 26 00 23 00 00 00 16 00                                                                                                                                                                           
00 00 17 00 00 00 0d 00 16 00 14 06 01 06 02 05                                                                                                                                                                           
01 05 02 04 01 04 02 03 01 03 02 02 01 02 02                                                                                                                                                                              
>>> ??? [length 0005]                                                                                                                                                                                                         
16 03 03 00 35                                                                                                                                                                                                            
>>> TLS 1.2 Handshake [length 0035], ServerHello                                                                                                                                                                              
02 00 00 31 03 1 7a 8b 16 4 55 33 16 13 3c 7a                                                                                                                                                                           
2f f9 56 db c6 16 21 12 17 27 1d 1a e8 a7 6a ce                                                                                                                                                                           
95 fd 11 8d a4 7c 00 00 1f 00 00 09 ff 01 00 01                                                                                                                                                                           
00 00 23 00 00                                                                                                                                                                                                            
>>> ??? [length 0005]                                                                                                                                                                                                         
16 03 03 04 75                                                                                                                                                                                                            
>>> TLS 1.2 Handshake [length 0475], Certificate                                                                                                                                                                              
0b 00 04 71 00 04 64 00 04 6b 30 82 04 17 31 82                                                                                                                                                                           
03 4f a0 03 02 01 02 02 01 02 30 0d 06 09 2a 86                                                                                                                                                                           
48 86 f7 0d 01 01 0b 05 00 30 81 9c 31 0b 30 09                                                                                                                                                                           
06 03 55 04 06 13 02 55 53 31 0e 30 0c 06 03 55                                                                                                                                                                           
04 08 0c 05 54 65 78 61 73 31 0f 30 0d 06 03 55                                                                                                                                                                           
04 07 0c 06 41 74 73 74 69 6e 31 16 30 14 06 03                                                                                                                                                                           
55 04 0a 0c 0d 50 61 63 65 20 41 6d 65 72 69 63                                                                                                                                                                           
61 73 31 1b 30 19 06 03 55 04 0b 0c 12 4d 61 6e                                                                                                                                                                           
61 67 65 6d 65 6e 74 20 53 79 73 74 65 6d 73 31                                                                                                                                                                           
37 30 35 06 03 55 04 03 0c 21 45 43 4f 20 41 67

最后一个块似乎是十六进制格式的证书,但不确定如何处理。如何将那部分十六进制字符串准确转换为可以查看subjectAltName的pem证书?

我尝试使用xxd -r -p,这种方法可以使字符变形,但不能清楚地显示subjectAltName。因此,为什么要将其转换为PEM,以便可以轻松显示它。

2 个答案:

答案 0 :(得分:1)

证书(链)以TLS证书消息内的DER格式进行通信。此类消息的结构(如果由TLS 1.2 RFC指定),但是此博客帖子Traffic Analysis of an SSL/TLS Session很好地显示了该消息:

- ---+----+----+----+----+----+----+----+----+----+----+-----------+---- - -
     | 11 |    |    |    |    |    |    |    |    |    |           |
     |0x0b|    |    |    |    |    |    |    |    |    |certificate| ...more certificate
- ---+----+----+----+----+----+----+----+----+----+----+-----------+---- - -
  /  |  \    \---------\    \---------\    \---------\
 /       \        \              \              \
record    \     length      Certificate    Certificate
length     \                   chain         length
            type: 11           length

如果要使用openssl s_server工具的输出来分析证书,则必须删除前10个字节。其余的(以您的情况为30 82开始)可以用xxd -r转换为二进制文件(就像您所做的那样)。可以将生成的二进制文件的X509内容(称为cert.bin)打印如下:

openssl x509 -inform DER -in cert.bin -noout -text

我无法在您的输出中尝试它,因为它被截断了。使用a set of sample certificate files,对我来说效果很好。

答案 1 :(得分:0)

如果添加 -verify 参数,客户端证书以及主题和颁发者将打印到控制台。扩展您的示例:

openssl.exe s_server -msg -cert ./crt.pem -key ./key.pem -port 880 -verify 1

沿着输出会有一些:

Client certificate
-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----
subject=C = ....
issuer=C = US, O = DigiCert Inc, CN = DigiCert TLS RSA SHA256 2020 CA1
相关问题
最新问题