什么时候使用--cacert(即CLI)中的--capath选项与curl选项。--cacert似乎引用包含多个PEM的整体文件。假设它扫描通过以找到匹配的主机名?--capath似乎引用了其中包含多个文件的目录。 curl是否在其中选取适当的证书作为文件名?
最佳答案
从docs:
因此,如果指定--cacert,则CA证书存储在指定的文件中。这些CA证书用于验证cURL连接到的远程服务器的证书。
--capath选项用于指定包含CA证书而不是单个文件的目录。 c_rehash实用程序应用于准备目录,即创建必要的链接。使用--capath的主要好处似乎是,它比
--cacert单文件方法,如果您有许多CA证书。
这是一个可能执行c_rehash功能的脚本:
for file in *.pem; do ln -s $file `openssl x509 -hash -noout -in $file`.0; done
使用这两个选项时,您应该注意仅包括来自您信任的CA的CA证书。例如,如果您知道应该始终向远程服务器颁发YourCompanyCA的证书,那么这是您应包括的唯一CA证书。
关于ssl - --cacert和--capath在curl中的区别?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/9879688/