freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

如何使用Mkchain构建一个有效的SSL证书链
  • 关注
如何使用Mkchain构建一个有效的SSL证书链
2023-10-08 23:06:31


关于Mkchain

Mkchain是一款功能强大的开源安全工具,在该工具的帮助下,广大研究人员可以轻松构建一个有效的SSL证书链。除此之外,该工具还可以帮助我们修复不完整的SSL证书链或下载所有缺失的CA证书。我们甚至还可以利用该工具从远程服务器下载所有的证书,以修复你自己的证书链。

工具要求

当前版本的Mkchain需要使用到下列外部实用工具:

OpenSSL(v1.10g/h)

GNU/Linux(Debian或CentOS)

Bash(v4.4.19)

工具下载

首先,广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/trimstray/mkchain

然后切换到项目目录中,执行工具安装脚本:

./setup.sh install

将指向bin/mkchain的符号连接移动到/usr/local/bin。

工具使用手册可以在/usr/local/man/man8中找到。

最后,使用下列命令即可开始使用Mkchain:

mkchain -i /data/certs -o /data/chain.crt

工具参数

该工具提供了下列运行参数选项:

Usage:

    mkchain <option|long-option>

 

  Options:

        --help        显示工具帮助信息和退出

        --debug      在屏幕上显示调试信息(调试模式)

    -i, --in            添加要整合的证书(单/多文件、包含SSL证书的目录或远程域名)

    -o, --out          将所有的结果(证书链)存储到文件中

        --with-root    将根证书添加到证书链

工具运行机制

我们以ssllabs证书链为例,mkchain项目中提供了一个example/ssllabs.com目录,其中有一个all目录(该目录中包含了构建证书链所需要的全部证书)和server_certificate目录(仅包含服务器证书)。

ssllabs.com域名的正确证书链(openssl命令结果):

Certificate chain

 0 s:/C=US/ST=California/L=Redwood City/O=Qualys, Inc./CN=ssllabs.com

   i:/C=US/O=Entrust, Inc./OU=See www.entrust.net/legal-terms/OU=(c) 2012 Entrust, Inc. - for authorized use only/CN=Entrust Certification Authority - L1K

 1 s:/C=US/O=Entrust, Inc./OU=See www.entrust.net/legal-terms/OU=(c) 2012 Entrust, Inc. - for authorized use only/CN=Entrust Certification Authority - L1K

   i:/C=US/O=Entrust, Inc./OU=See www.entrust.net/legal-terms/OU=(c) 2009 Entrust, Inc. - for authorized use only/CN=Entrust Root Certification Authority - G2

 2 s:/C=US/O=Entrust, Inc./OU=See www.entrust.net/legal-terms/OU=(c) 2009 Entrust, Inc. - for authorized use only/CN=Entrust Root Certification Authority - G2

   i:/C=US/O=Entrust, Inc./OU=www.entrust.net/CPS is incorporated by reference/OU=(c) 2006 Entrust, Inc./CN=Entrust Root Certification Authority

场景一

在这个场景中,我们将链接所有证书:

场景二

在这个场景中,我们只会使用服务器证书,并用它来获取剩余所需的证书,然后将所有的证书链接:

证书路径

Mkchain允许使用两种证书路径:

工具使用样例

mkchain --in Root.crt --in Intermediate1.crt --in Server.crt --out bundle_chain_certs.crt
mkchain --in /tmp/certs --out bundle_chain_certs.crt --with-root
mkchain -i Server.crt -o bundle_chain_certs.crt
mkchain -i https://incomplete-chain.badssl.com/ --with-root

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可证协议。

项目地址

Mkchain:【GitHub传送门

参考资料

https://medium.com/@superseb/get-your-certificate-chain-right-4b117a9c0fce

https://support.dnsimple.com/articles/what-is-ssl-certificate-chain/

# ssl # 数字证书 # 证书 # 安全证书 # SSL证书
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
关于Mkchain
    工具要求
      工具下载
        工具参数
          工具运行机制
          • 场景一
          • 场景二
          • 证书路径
          工具使用样例
            许可证协议
              项目地址
                参考资料