一、简介
verify命令对证书的有效性进行验证,verify 指令会沿着证书链一直向上验证,直到一个自签名的CA
二、语法
openssl verify [-CApath directory] [-CAfile file] [-purpose purpose] [-policy arg] [-verify_depth depth] [-ignore_critical] [-issuer_checks] [-crl_check] [-crl_check_all] [-policy_check] [-explicit_policy] [-inhibit_any] [-inhibit_map] [-x509_strict] [-extended_crl] [-use_deltas] [-policy_print] [-check_ss_sig] [-untrusted file] [-trusted file] [-CRLfile] [-help] [-verbose] [-engine e] [-] [certificates]
选项
-CApath directory 如果打算使用目录存储可信任库,那么必须要以特定的方式命名文件
,此选项指定CA证书所在的目录,这个目录下可能存在证书链中的多个证书文件。为了能够对这个目录下的证书进行检索,证书文件必须要以特定的方式命名(可使用
c_rehash工具生成规范的命名
):即需要遵循xxxxxxxx.0,其中xxxxxxxx是openssl x509 -hash -in 证书, 的输出值,8个字母或数字。“.0”是要有的
-CAfile filename 指定CA的证书文件,PEM格式,这个文件里可能不只包含一个证书。如果需要对证书链进行验证,指定的文件中应包含所有的证书。加入顶级CA证书文件名为0.pem,一级CA证书文件为1.pem,二级证书文件为2.pem,待验证的证书文件是eve.pem,那么需要先将0.pem,1.pem证书文件的内容包含到2.pem中。证书文件都是文本文件,简单地使用cat命令就可以进行连接。
三、实例
1、验证证书
openssl verify -CApath CApath certself.pem