반응형
certutil.exe를 사용하여 x.509 인증서가 유효한지 검증할 수 있다. (google에 적용된 ssl 인증서를 가지고 테스트를 진행했다.)
1. 인증서 위치하고 있는 경로로 이동 : cd 인증서 경로
2. 인증서 검증 : certutil -v -f -urlfetch -verify 인증서 파일명
인증서 검증 명령어를 입력하면 아래와 같은 결과가 표시된다.
| 발급자: CN=Thawte TLS RSA CA G1 OU=www.digicert.com O=DigiCert Inc C=US [0,0]: CERT_RDN_PRINTABLE_STRING, 길이 = 2 (2/2 문자) 2.5.4.6 국가/지역 (C)="US" 55 53 US 55 00 53 00 U.S. [1,0]: CERT_RDN_PRINTABLE_STRING, 길이 = 12 (12/64 문자) 2.5.4.10 조직 (O)="DigiCert Inc" 44 69 67 69 43 65 72 74 20 49 6e 63 DigiCert Inc 44 00 69 00 67 00 69 00 43 00 65 00 72 00 74 00 D.i.g.i.C.e.r.t. 20 00 49 00 6e 00 63 00 .I.n.c. [2,0]: CERT_RDN_PRINTABLE_STRING, 길이 = 16 (16/64 문자) 2.5.4.11 조직 구성 단위 (OU)="www.digicert.com" 77 77 77 2e 64 69 67 69 63 65 72 74 2e 63 6f 6d www.digicert.com 77 00 77 00 77 00 2e 00 64 00 69 00 67 00 69 00 w.w.w...d.i.g.i. 63 00 65 00 72 00 74 00 2e 00 63 00 6f 00 6d 00 c.e.r.t...c.o.m. [3,0]: CERT_RDN_PRINTABLE_STRING, 길이 = 20 (20/64 문자) 2.5.4.3 공통 이름 (CN)="Thawte TLS RSA CA G1" 54 68 61 77 74 65 20 54 4c 53 20 52 53 41 20 43 Thawte TLS RSA C 41 20 47 31 A G1 54 00 68 00 61 00 77 00 74 00 65 00 20 00 54 00 T.h.a.w.t.e. .T. 4c 00 53 00 20 00 52 00 53 00 41 00 20 00 43 00 L.S. .R.S.A. .C. 41 00 20 00 47 00 31 00 A. .G.1. 이름 해시(sha1): 7384a7d062c007419643cdbf11b50e4f82c4e341 이름 해시(md5): f9ba901bc2b8e6b399b007e927ac821e 주체: CN=*.tistory.com O=Kakao Corp. L=Jeju-si S=Jeju-do C=KR [0,0]: CERT_RDN_PRINTABLE_STRING, 길이 = 2 (2/2 문자) 2.5.4.6 국가/지역 (C)="KR" 4b 52 KR 4b 00 52 00 K.R. [1,0]: CERT_RDN_PRINTABLE_STRING, 길이 = 7 (7/128 문자) 2.5.4.8 시/도 (S)="Jeju-do" 4a 65 6a 75 2d 64 6f Jeju-do 4a 00 65 00 6a 00 75 00 2d 00 64 00 6f 00 J.e.j.u.-.d.o. [2,0]: CERT_RDN_PRINTABLE_STRING, 길이 = 7 (7/128 문자) 2.5.4.7 구/군/시 (L)="Jeju-si" 4a 65 6a 75 2d 73 69 Jeju-si 4a 00 65 00 6a 00 75 00 2d 00 73 00 69 00 J.e.j.u.-.s.i. [3,0]: CERT_RDN_PRINTABLE_STRING, 길이 = 11 (11/64 문자) 2.5.4.10 조직 (O)="Kakao Corp." 4b 61 6b 61 6f 20 43 6f 72 70 2e Kakao Corp. 4b 00 61 00 6b 00 61 00 6f 00 20 00 43 00 6f 00 K.a.k.a.o. .C.o. 72 00 70 00 2e 00 r.p... [4,0]: CERT_RDN_UTF8_STRING, 길이 = 13 (13/64 문자) 2.5.4.3 공통 이름 (CN)="*.tistory.com" 2a 2e 74 69 73 74 6f 72 79 2e 63 6f 6d *.tistory.com 2a 00 2e 00 74 00 69 00 73 00 74 00 6f 00 72 00 *...t.i.s.t.o.r. 79 00 2e 00 63 00 6f 00 6d 00 y...c.o.m. 이름 해시(sha1): 0efcc67ffc0fe54d088332e193c7532f4175b919 이름 해시(md5): 1bee852950c5f7f875eefdc86ec68db8 인증서 일련 번호: 0ece8f8b8d8eabe61be2f1967c4b4660 60 46 4b 7c 96 f1 e2 1b e6 ab 8e 8d 8b 8f ce 0e dwFlags = CA_VERIFY_FLAGS_ALLOW_UNTRUSTED_ROOT (0x1) dwFlags = CA_VERIFY_FLAGS_IGNORE_OFFLINE (0x2) dwFlags = CA_VERIFY_FLAGS_FULL_CHAIN_REVOCATION (0x8) dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000) dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000) ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN (0x20000000) HCCE_LOCAL_MACHINE CERT_CHAIN_POLICY_BASE -------- CERT_CHAIN_CONTEXT -------- ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0 Issuer: CN=Thawte TLS RSA CA G1, OU=www.digicert.com, O=DigiCert Inc, C=US NotBefore: 2022-03-14 오전 9:00 NotAfter: 2023-04-01 오전 8:59 Subject: CN=*.tistory.com, O=Kakao Corp., L=Jeju-si, S=Jeju-do, C=KR Serial: 0ece8f8b8d8eabe61be2f1967c4b4660 SubjectAltName: DNS Name=*.tistory.com, DNS Name=tistory.com Cert: 6d026e323549d2439fa0b9076f9370df83b369a7 Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ---------------- 인증서 AIA ---------------- 확인됨 "인증서 (0)" 시간: 0 c9fefc763d9548b487696f047acba0abe45c7bc1 [0.0] http://cacerts.thawte.com/ThawteTLSRSACAG1.crt ---------------- 인증서 CDP ---------------- 확인됨 "기준 CRL (0663)" 시간: 0 9bfc0a50ea3dac2486e348353ce47582bb342c5f [0.0] http://cdp.thawte.com/ThawteTLSRSACAG1.crl ---------------- 기반 CRL CDP ---------------- URL 없음 "없음" 시간: 0 (null) ---------------- 인증서 OCSP ---------------- http://status.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRzhKfQYsAHQZZDzb8RtQ5PgsTjQQQUpYz%2bMszrDyzUGcYIuAAkiF3DxbcCEA7Oj4uNjqvmG%2bLxlnxLRmA%3d?Content-Type: application/ocsp-request 확인됨 "OCSP" 시간: 0 5f816dd5242784eb23e708eac8a0ca7a34439ad4 [0.0] http://status.thawte.com -------------------------------- CRL (null): Issuer: CN=Thawte TLS RSA CA G1, OU=www.digicert.com, O=DigiCert Inc, C=US ThisUpdate: 2022-05-17 오후 12:45 NextUpdate: 2022-05-24 오후 12:00 CRL: 89691b896195cfc34821203938d8297a98a2f32c Issuance[0] = 2.23.140.1.2.2 Application[0] = 1.3.6.1.5.5.7.3.2 클라이언트 인증 Application[1] = 1.3.6.1.5.5.7.3.1 서버 인증 CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=0 Issuer: CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US NotBefore: 2017-11-02 오후 9:24 NotAfter: 2027-11-02 오후 9:24 Subject: CN=Thawte TLS RSA CA G1, OU=www.digicert.com, O=DigiCert Inc, C=US Serial: 090ee8c5de5bfa62d2ae2ff7097c4857 Cert: c9fefc763d9548b487696f047acba0abe45c7bc1 Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ---------------- 인증서 AIA ---------------- URL 없음 "없음" 시간: 0 (null) ---------------- 인증서 CDP ---------------- 확인됨 "기준 CRL (0221)" 시간: 0 d8dbc136e04e9825fa80f90faefcc6aa7fda3b13 [0.0] http://crl3.digicert.com/DigiCertGlobalRootG2.crl ---------------- 기반 CRL CDP ---------------- URL 없음 "없음" 시간: 0 (null) ---------------- 인증서 OCSP ---------------- http://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQ50otx%2fh0Ztl%2bz8SiPI7wEWVxDlQQUTiJUIBiV5uNu5g%2f6%2brkS7QYXjzkCEAkO6MXeW%2fpi0q4v9wl8SFc%3d?Content-Type: application/ocsp-request 확인됨 "OCSP" 시간: 0 ebe8c7b56dc0761c15437ae56da68c7215cedd03 [0.0] http://ocsp.digicert.com -------------------------------- CRL (null): Issuer: CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US ThisUpdate: 2022-05-16 오전 4:38 NextUpdate: 2022-05-23 오전 4:38 CRL: 3f4bcdded5f332cdfd1f6f8275c1060e9a3e86a2 Application[0] = 1.3.6.1.5.5.7.3.2 클라이언트 인증 Application[1] = 1.3.6.1.5.5.7.3.1 서버 인증 CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0 Issuer: CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US NotBefore: 2013-08-01 오후 9:00 NotAfter: 2038-01-15 오후 9:00 Subject: CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US Serial: 033af1e6a711a9a0bb2864b11d09fae5 Cert: df3c24f9bfd666761b268073fe06d1cc8d4f82a4 Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4) Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ---------------- 인증서 AIA ---------------- URL 없음 "없음" 시간: 0 (null) ---------------- 인증서 CDP ---------------- URL 없음 "없음" 시간: 0 (null) ---------------- 인증서 OCSP ---------------- URL 없음 "없음" 시간: 0 (null) -------------------------------- Application[0] = 1.3.6.1.5.5.7.3.2 클라이언트 인증 Application[1] = 1.3.6.1.5.5.7.3.3 코드 서명 Application[2] = 1.3.6.1.5.5.7.3.4 전자 메일 보안 Application[3] = 1.3.6.1.5.5.7.3.1 서버 인증 Application[4] = 1.3.6.1.5.5.7.3.8 타임스탬프 EV[0] = 2.16.840.1.114412.2.1 EV[1] = 2.23.140.1.3 Exclude leaf cert: Chain: 2fe4cb41e56c87b3431279571efb8c5465394576 Full chain: Chain: 655368550a3243c00218deb309d6e774e605e607 ------------------------------------ 확인된 발급 정책: 2.23.140.1.2.2 확인된 응용 프로그램 정책: 1.3.6.1.5.5.7.3.2 클라이언트 인증 1.3.6.1.5.5.7.3.1 서버 인증 인증서가 End Entity 인증서입니다. 오류: 리프 인증서 해지 상태 확인에서 해지 서버가 오프라인이므로 해지를 확인하지 못했습니다. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)을(를) 반환했습니다. CertUtil: 해지 서버가 오프라인이므로 해지를 확인하지 못했습니다. CertUtil: -verify 명령이 성공적으로 완료되었습니다. |
AIA 필드에 있는 인증 기관 발급자와 OCSP, CRL 등 인증서에 정보를 하나하나 체크해준다.
참고
캐시 삭제 : certutil -urlcache * delete
728x90
반응형
'개발 > etc' 카테고리의 다른 글
| [Mac] 맥에 Homebrew 설치 방법 (0) | 2022.07.01 |
|---|---|
| [Maven] 맥에 메이븐 설치하기, local repository 위치 찾기 (1) | 2022.07.01 |
| [Maven] 윈도우에 메이븐 설치 및 환경 변수 설정 (0) | 2021.12.30 |
| [builtwith] 기술 정보 및 현황 사이트 추천! 특정 웹 사이트의 기술정보가 궁금하다면? (1) | 2021.12.28 |
| [Log] 로그 파일 분리하기 - Log4j, Logback (0) | 2021.12.22 |
댓글