服务器 Gind.cn
  1. 服务器 Gind.cn
  3. SSL / TLS客户端身份validation:如何查看可接受的客户端证书CA名称?
Intereting Posts
虚拟服务器没有正确提供.css文件,发出302响应并转发到404错误页面 哪些软件包需要排除,才能从RHEL 5.3升级到5.5? 如何远程发现电缆调制解调器的MAC? 设置域 任何好的IIS跟踪? 无法在Centos 7 kvm主机上导入Ubuntu虚拟机 AD是单独的区域,DC注册在错误的区域 为什么FTP被动模式需要一个端口范围而不是只有一个端口? “SC.EXEconfiguration”和美元符号的服务名称 配线架电缆缠结 SOApipe理邮件字段 客户端validationIIS mysqladmin没有等待完全closures(或debian的init.d脚本坏了?) 什么是仍然使用SQL Server 2000的原因? IBM ServeRAID:如何使用电子邮件警报?

SSL / TLS客户端身份validation:如何查看可接受的客户端证书CA名称?

我有一个使用SSL / TLS客户端身份validation的HTTPS服务,并要求提供一个证书。 如何在不显示客户端证书的情况下使用openssl s_client获取可接受的客户端证书CA名称的列表?

如果我尝试没有客户端证书,我得到以下错误: 

 4967:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:

使用以下命令:

openssl s_client -connect website_fqdn:443 -state -nbio 2>&1

输出将包含“可接受的客户端证书CA名称”

您需要使用-prexit选项:

例如 

 openssl s_client -connect server:8443 -prexit

当程序退出时打印会话信息。 即使连接失败,也将始终尝试打印信息。 通常信息只会在连接成功的情况下打印一次。 此选项非常有用,因为正在使用的密码可能会重新协商,或者连接可能失败,因为客户端证书是必需的,或者仅在尝试访问某个URL后才被请求。 注意:由这个选项产生的输出并不总是准确的,因为连接可能永远不会被build立。