certutil.exe로 X.509 인증서 검증하기

certutil.exe를 사용하여 x.509 인증서가 유효한지 검증할 수 있다. (google에 적용된 ssl 인증서를 가지고 테스트를 진행했다.)

1. 인증서 위치하고 있는 경로로 이동 : cd 인증서 경로
2. 인증서 검증 : certutil -v -f -urlfetch -verify 인증서 파일명

인증서 검증 명령어를 입력하면 아래와 같은 결과가 표시된다.

발급자:
    CN=Thawte TLS RSA CA G1
    OU=www.digicert.com
    O=DigiCert Inc
    C=US
    [0,0]: CERT_RDN_PRINTABLE_STRING, 길이 = 2 (2/2 문자)
        2.5.4.6 국가/지역 (C)="US"

        55 53                                              US

        55 00 53 00                                        U.S.

    [1,0]: CERT_RDN_PRINTABLE_STRING, 길이 = 12 (12/64 문자)
        2.5.4.10 조직 (O)="DigiCert Inc"

        44 69 67 69 43 65 72 74  20 49 6e 63               DigiCert Inc

        44 00 69 00 67 00 69 00  43 00 65 00 72 00 74 00   D.i.g.i.C.e.r.t.
        20 00 49 00 6e 00 63 00                             .I.n.c.

    [2,0]: CERT_RDN_PRINTABLE_STRING, 길이 = 16 (16/64 문자)
        2.5.4.11 조직 구성 단위 (OU)="www.digicert.com"

        77 77 77 2e 64 69 67 69  63 65 72 74 2e 63 6f 6d   www.digicert.com

        77 00 77 00 77 00 2e 00  64 00 69 00 67 00 69 00   w.w.w...d.i.g.i.
        63 00 65 00 72 00 74 00  2e 00 63 00 6f 00 6d 00   c.e.r.t...c.o.m.

    [3,0]: CERT_RDN_PRINTABLE_STRING, 길이 = 20 (20/64 문자)
        2.5.4.3 공통 이름 (CN)="Thawte TLS RSA CA G1"

        54 68 61 77 74 65 20 54  4c 53 20 52 53 41 20 43   Thawte TLS RSA C
        41 20 47 31                                        A G1

        54 00 68 00 61 00 77 00  74 00 65 00 20 00 54 00   T.h.a.w.t.e. .T.
        4c 00 53 00 20 00 52 00  53 00 41 00 20 00 43 00   L.S. .R.S.A. .C.
        41 00 20 00 47 00 31 00                            A. .G.1.

  이름 해시(sha1): 7384a7d062c007419643cdbf11b50e4f82c4e341
  이름 해시(md5): f9ba901bc2b8e6b399b007e927ac821e
주체:
    CN=*.tistory.com
    O=Kakao Corp.
    L=Jeju-si
    S=Jeju-do
    C=KR
    [0,0]: CERT_RDN_PRINTABLE_STRING, 길이 = 2 (2/2 문자)
        2.5.4.6 국가/지역 (C)="KR"

        4b 52                                              KR

        4b 00 52 00                                        K.R.

    [1,0]: CERT_RDN_PRINTABLE_STRING, 길이 = 7 (7/128 문자)
        2.5.4.8 시/도 (S)="Jeju-do"

        4a 65 6a 75 2d 64 6f                               Jeju-do

        4a 00 65 00 6a 00 75 00  2d 00 64 00 6f 00         J.e.j.u.-.d.o.

    [2,0]: CERT_RDN_PRINTABLE_STRING, 길이 = 7 (7/128 문자)
        2.5.4.7 구/군/시 (L)="Jeju-si"

        4a 65 6a 75 2d 73 69                               Jeju-si

        4a 00 65 00 6a 00 75 00  2d 00 73 00 69 00         J.e.j.u.-.s.i.

    [3,0]: CERT_RDN_PRINTABLE_STRING, 길이 = 11 (11/64 문자)
        2.5.4.10 조직 (O)="Kakao Corp."

        4b 61 6b 61 6f 20 43 6f  72 70 2e                  Kakao Corp.

        4b 00 61 00 6b 00 61 00  6f 00 20 00 43 00 6f 00   K.a.k.a.o. .C.o.
        72 00 70 00 2e 00                                  r.p...

    [4,0]: CERT_RDN_UTF8_STRING, 길이 = 13 (13/64 문자)
        2.5.4.3 공통 이름 (CN)="*.tistory.com"

        2a 2e 74 69 73 74 6f 72  79 2e 63 6f 6d            *.tistory.com

        2a 00 2e 00 74 00 69 00  73 00 74 00 6f 00 72 00   *...t.i.s.t.o.r.
        79 00 2e 00 63 00 6f 00  6d 00                     y...c.o.m.

  이름 해시(sha1): 0efcc67ffc0fe54d088332e193c7532f4175b919
  이름 해시(md5): 1bee852950c5f7f875eefdc86ec68db8
인증서 일련 번호: 0ece8f8b8d8eabe61be2f1967c4b4660
    60 46 4b 7c 96 f1 e2 1b  e6 ab 8e 8d 8b 8f ce 0e

dwFlags = CA_VERIFY_FLAGS_ALLOW_UNTRUSTED_ROOT (0x1)
dwFlags = CA_VERIFY_FLAGS_IGNORE_OFFLINE (0x2)
dwFlags = CA_VERIFY_FLAGS_FULL_CHAIN_REVOCATION (0x8)
dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN (0x20000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)

CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
  Issuer: CN=Thawte TLS RSA CA G1, OU=www.digicert.com, O=DigiCert Inc, C=US
  NotBefore: 2022-03-14 오전 9:00
  NotAfter: 2023-04-01 오전 8:59
  Subject: CN=*.tistory.com, O=Kakao Corp., L=Jeju-si, S=Jeju-do, C=KR
  Serial: 0ece8f8b8d8eabe61be2f1967c4b4660
  SubjectAltName: DNS Name=*.tistory.com, DNS Name=tistory.com
  Cert: 6d026e323549d2439fa0b9076f9370df83b369a7
  Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
  ----------------  인증서 AIA  ----------------
  확인됨 "인증서 (0)" 시간: 0 c9fefc763d9548b487696f047acba0abe45c7bc1
    [0.0] http://cacerts.thawte.com/ThawteTLSRSACAG1.crt

  ----------------  인증서 CDP  ----------------
  확인됨 "기준 CRL (0663)" 시간: 0 9bfc0a50ea3dac2486e348353ce47582bb342c5f
    [0.0] http://cdp.thawte.com/ThawteTLSRSACAG1.crl

  ----------------  기반 CRL CDP  ----------------
  URL 없음 "없음" 시간: 0 (null)
  ----------------  인증서 OCSP  ----------------
http://status.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRzhKfQYsAHQZZDzb8RtQ5PgsTjQQQUpYz%2bMszrDyzUGcYIuAAkiF3DxbcCEA7Oj4uNjqvmG%2bLxlnxLRmA%3d?Content-Type: application/ocsp-request
  확인됨 "OCSP" 시간: 0 5f816dd5242784eb23e708eac8a0ca7a34439ad4
    [0.0] http://status.thawte.com

  --------------------------------
    CRL (null):
    Issuer: CN=Thawte TLS RSA CA G1, OU=www.digicert.com, O=DigiCert Inc, C=US
    ThisUpdate: 2022-05-17 오후 12:45
    NextUpdate: 2022-05-24 오후 12:00
    CRL: 89691b896195cfc34821203938d8297a98a2f32c
  Issuance[0] = 2.23.140.1.2.2
  Application[0] = 1.3.6.1.5.5.7.3.2 클라이언트 인증
  Application[1] = 1.3.6.1.5.5.7.3.1 서버 인증

CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=0
  Issuer: CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
  NotBefore: 2017-11-02 오후 9:24
  NotAfter: 2027-11-02 오후 9:24
  Subject: CN=Thawte TLS RSA CA G1, OU=www.digicert.com, O=DigiCert Inc, C=US
  Serial: 090ee8c5de5bfa62d2ae2ff7097c4857
  Cert: c9fefc763d9548b487696f047acba0abe45c7bc1
  Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
  ----------------  인증서 AIA  ----------------
  URL 없음 "없음" 시간: 0 (null)
  ----------------  인증서 CDP  ----------------
  확인됨 "기준 CRL (0221)" 시간: 0 d8dbc136e04e9825fa80f90faefcc6aa7fda3b13
    [0.0] http://crl3.digicert.com/DigiCertGlobalRootG2.crl

  ----------------  기반 CRL CDP  ----------------
  URL 없음 "없음" 시간: 0 (null)
  ----------------  인증서 OCSP  ----------------
http://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQ50otx%2fh0Ztl%2bz8SiPI7wEWVxDlQQUTiJUIBiV5uNu5g%2f6%2brkS7QYXjzkCEAkO6MXeW%2fpi0q4v9wl8SFc%3d?Content-Type: application/ocsp-request
  확인됨 "OCSP" 시간: 0 ebe8c7b56dc0761c15437ae56da68c7215cedd03
    [0.0] http://ocsp.digicert.com

  --------------------------------
    CRL (null):
    Issuer: CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
    ThisUpdate: 2022-05-16 오전 4:38
    NextUpdate: 2022-05-23 오전 4:38
    CRL: 3f4bcdded5f332cdfd1f6f8275c1060e9a3e86a2
  Application[0] = 1.3.6.1.5.5.7.3.2 클라이언트 인증
  Application[1] = 1.3.6.1.5.5.7.3.1 서버 인증

CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
  Issuer: CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
  NotBefore: 2013-08-01 오후 9:00
  NotAfter: 2038-01-15 오후 9:00
  Subject: CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
  Serial: 033af1e6a711a9a0bb2864b11d09fae5
  Cert: df3c24f9bfd666761b268073fe06d1cc8d4f82a4
  Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
  Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
  ----------------  인증서 AIA  ----------------
  URL 없음 "없음" 시간: 0 (null)
  ----------------  인증서 CDP  ----------------
  URL 없음 "없음" 시간: 0 (null)
  ----------------  인증서 OCSP  ----------------
  URL 없음 "없음" 시간: 0 (null)
  --------------------------------
  Application[0] = 1.3.6.1.5.5.7.3.2 클라이언트 인증
  Application[1] = 1.3.6.1.5.5.7.3.3 코드 서명
  Application[2] = 1.3.6.1.5.5.7.3.4 전자 메일 보안
  Application[3] = 1.3.6.1.5.5.7.3.1 서버 인증
  Application[4] = 1.3.6.1.5.5.7.3.8 타임스탬프
  EV[0] = 2.16.840.1.114412.2.1
  EV[1] = 2.23.140.1.3

Exclude leaf cert:
  Chain: 2fe4cb41e56c87b3431279571efb8c5465394576
Full chain:
  Chain: 655368550a3243c00218deb309d6e774e605e607
------------------------------------
확인된 발급 정책:
    2.23.140.1.2.2
확인된 응용 프로그램 정책:
    1.3.6.1.5.5.7.3.2 클라이언트 인증
    1.3.6.1.5.5.7.3.1 서버 인증
인증서가 End Entity 인증서입니다.

오류: 리프 인증서 해지 상태 확인에서 해지 서버가 오프라인이므로 해지를 확인하지 못했습니다. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)을(를) 반환했습니다.
CertUtil: 해지 서버가 오프라인이므로 해지를 확인하지 못했습니다.

CertUtil: -verify 명령이 성공적으로 완료되었습니다.

AIA 필드에 있는 인증 기관 발급자와 OCSP, CRL 등 인증서에 정보를 하나하나 체크해준다.

참고
캐시 삭제 : certutil -urlcache * delete

728x90

저작자표시 비영리 변경금지

'개발 > etc' 카테고리의 다른 글

[Mac] 맥에 Homebrew 설치 방법 (0)	2022.07.01
[Maven] 맥에 메이븐 설치하기, local repository 위치 찾기 (1)	2022.07.01
[Maven] 윈도우에 메이븐 설치 및 환경 변수 설정 (0)	2021.12.30
[builtwith] 기술 정보 및 현황 사이트 추천! 특정 웹 사이트의 기술정보가 궁금하다면? (1)	2021.12.28
[Log] 로그 파일 분리하기 - Log4j, Logback (0)	2021.12.22

기록

풀스택 개발자입니다. 잘못된 내용이 있다면 댓글 남겨주세요:)

certutil.exe로 X.509 인증서 검증하기

'개발 > etc' 카테고리의 다른 글

댓글

티스토리툴바

certutil.exe로 X.509 인증서 검증하기

'개발 > etc' 카테고리의 다른 글

관련글

댓글

티스토리툴바