Indice

Alcuni suggerimenti per il troubleshooting con OpenSSL e certutil

Verificare che la chiave pubblica, privata e la certificate sign request corrispondano

Bisogna verificare in effetti che le chiavi abbiano lo stesso modulo. Per praticità di comparazione, ne calcoleremo il valore MD5:

Procedura per chiavi a crittografia ellittica: 

$ openssl x509 -noout -in server.pem -pubkey | openssl md5
$ openssl pkey        -in server.key -pubout | openssl md5
$ openssl req  -noout -in server.csr -pubkey | openssl md5

Procedura per chiavi RSA: 

$ openssl x509 -noout -modulus -in server.pem | openssl md5  
$ openssl rsa  -noout -modulus -in server.key | openssl md5
$ openssl req  -noout -modulus -in server.csr | openssl md5

Verificare la correttezza della CA-Chain

$ openssl verify -show_chain -CAfile RootCACert.pem -CAfile IntermediateCACert.pem ServerCert.pem

Se la catena non è completa viene visualizzato un errore del tipo: “error 20 at 0 depth lookup:unable to get local issuer certificate”

Su Windows command line o PowerShell, allo stesso scopo, è possibile usare il comando 

certutil -verify servercert.pem cachain.pem

oppure se avete installato OpenSSL 

openssl verify -CAstore org.openssl.winstore:// -show_chain -CAfile RootCACert.pem -CAfile IntermediateCACert.pem ServerCert.pem,

che mostra invece i vari step dal leaf certificate fino alla root.

Come visualizzare, scaricare e verificare il certificato server SSL/TLS e la connessione

$ openssl s_client -connect host:port

Tabella di protocolli well-known che usano SSL: 

Protocol   	Port
https	 443/tcp
nntps	 563/tcp
ldaps	 636/tcp
ftps-data	 989/tcp
telnets	 992/tcp
imaps	 993/tcp
ircs	 994/tcp
pop3s	 995/tcp
ssmtp	 465/tcp

Per verificare i parametri di connessione è necessario specificare almeno un certificato CA, al massimo una chiave segreta client e un certificato pubblico. 

$ openssl s_client -CAfile /etc/ssl/certs/root_ca.pem -connect host:443
$ openssl s_client -CAfile /etc/ssl/certs/root_ca.pem -cert /my/cert.pub -key /my/key.priv -connect host:443

Una connessione riuscita restituisce alla fine: 

Verify return code: 0 (ok)

Verificare date di validità e altri parametri di un certificato usato da un server non web

Alcuni esempi possono essere server ldap, imap, pop, ecc…. 

openssl s_client -connect <server fqdn>:<port> | openssl x509 -in - -text

dove <port> può essere anche espresso in notazione well known: ldaps, pops, imaps, ecc…

Credits: Daniele Albrizio, Alberto Bianco per alcune info su Windows