Da sotto comando in grado di generare pin Base64 solo per certificato di prima profondità. Ma è necessario generare un pin per tutta la profondità del certificato.
openssl s_client -servername example.com -connect example.com:443 -showcerts
| openssl x509 -pubkey -noout | openssl rsa -pubin -outform der | openssl dgst -sha256 -binary | openssl enc -base64
Fornisce solo una chiave invece di tre,
cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=
Quindi, come possiamo generare tutti e tre i livelli di pin?
Risposta accettata:
Anche se per lo più sono d'accordo con Romeo sul fatto che dovresti già avere i file cert sul server, se fa è necessario elaborare più certificati da un s_client puoi fare qualcosa come:
openssl s_client ..... -showcerts
| awk '/-----BEGIN/{f="cert."(n++)} f{print>f} /-----END/{f=""}'
# or input from bundle or chain file
for c in cert.*; do
openssl x509 <$c -noout -pubkey .....
done
rm cert.*
# use better temp name/location if you want