Differences

This shows you the differences between two versions of the page.

--- doc:appunti:linux:sa:ssl_cert [2011/09/19 15:36] – [Postfix] niccolo
+++ doc:appunti:linux:sa:ssl_cert [2020/10/07 10:07] – [Verificare un certificato SSL su HTTPS] niccolo
@@ Line 2: / Line 2: @@
 Come generare i certificati SSL autofirmati in un sistema **Debian GNU/Linux** per i vari programmi: apache2, courier-pop, courier-imap, postfix, exim.
+===== Ispezionare un certificato in formato PEM =====
+Per vedere il contenuto di un file .pem (date di validità, ecc.):
+<code>
+openssl x509 -text -noout -in pop3d.pem
+</code>
+===== Ispezionare una CRL in formato PEM =====
+Anche una Certificate Revocation List ha la sue date di validità, ecc. Per ispezionarla:
+<code>
+openssl crl -text -noout -in openvpn_crl.pem
+</code>
 ===== Courier POP3 e IMAP =====
@@ Line 14: / Line 30: @@
   * Editare i file ''.cnf'' impostando i valori richiesti.
   * Eliminare i vecchi ''.pem'' ed eseguire nuovamente gli script.
-Per vedere il contenuto di un file .pem:
-<code>
-openssl x509 -text -noout -in pop3d.pem
-</code>
 ===== Postfix =====
@@ Line 54: / Line 64: @@
 root@$EHOSTNAME.$EDOMAINNAME
 +++
+</code>
+===== Verificare un certificato SSL su HTTPS =====
+Con il tool **openssl** è possibile verificare la possibilità di stabilire una connessione SSL con un server via HTTPS:
+<code>
+openssl s_client -connect www.domain.tld:443 -CAfile /usr/lib/ssl/certs/DigiCert_Global_Root_CA.pem
+</code>
+L'opzione **%%-CAfile%%** e il relativo parametro non dovrebbe essere necessaria se i certificati delle CA sono installati nelle opportune directory, dove la libreria **libssl** le trova automaticamente.
+Se la verifica funziona correttamente, l'ultima riga dell'output dovrebbe essere:
+<code>
+Verify return code: 0 (ok)
+</code>
+La mancanza del certificato della CA invece produce questo errore:
+<code>
+Verify return code: 20 (unable to get local issuer certificate)
 </code>