TLS証明書を生成し、自己署名CAで署名しました。
このプロセス中に多くの小さなエラーが発生する可能性があり、これにより証明書が拒否される可能性があります。ブラウザは一般的なTLSエラーコード(または「このサイトは攻撃を受けています!」)を提供する非常に不透明なエラーを提供しているように見えますが、証明書チェーンに正確にどのような問題があるかを説明していません。
さらに、TLSは時間の経過とともに発展し、わずか数年前には一般的であったTLSソフトウェアでサポートされている多くの機能が安全ではないと考えられ、使用されなくなりました。これらを追跡するのは難しいです。
Unix/Linux 環境で TLS 証明書をテストして、一般に最新の規格に準拠しているかどうかをすばやく確認します。
答え1
zlint
cablint
CA /ブラウザフォーラムの基本要件に対する証明書の遵守を確認するために広く使用されているツールのようです。 (個人的に使ったことはありません。)
内部で管理されるCAは次のとおりです。トピックに含まれないWebPKI CAと同じ要件 - ブラウザは違いを知っており、たとえば(少なくとも私が知っている限り)SAN要件を適用しません。
検証する前に、さまざまなブラウザ固有の戦略を使用しないでください。基本TLSライブラリ証明書を受け入れます。つまり、TLSサーバーが構成されている場合は、まずそのgnutls-cli <host>:<port>
サーバーとチェーン全体のGnuTLSガイドラインを見てから、同じopenssl s_client
要件-servername
とオプションを見ました。-verify_hostname …