openssl verify - 単一の結合証明書バンドルファイルを確認する方法

私はブラウザベースの管理インターフェースを使用する製品を維持/改善します。私たちはパーティーに遅れていましたが、ブラウザとバックエンドの間でHTTPSをサポートしようとしています（Apache httpdはTomcatの前にあり、すべてLinuxで実行されています）。

だから...私は新しい領域を探索しています。そのうちの1つは、認証局から取得した証明書を扱うことです。

テスト/教育目的でCAから独自の証明書を受け取りました。 CAにCSRを提供し、その代価として次の2つを受け取りました。

1. server.crtと
2. middles.crt（少なくとも1つ以上のファイル - おそらくそれ以上？ - 中間証明書）

IIUC両方のファイルをApacheにインストールする必要があります。しかし、私たちの製品に付属しているApacheはより新しいバージョンなので（httpd.confディレクティブを読んでください）SSL証明書チェーンファイル'はバージョン2.4.8以降削除されているため、CAの2つのファイルは以下のように1つのファイルにマージする必要があります（Apacheを使用して）SSL証明書ファイル'はファイルを指します):

cat server.crt intermediates.crt > combined.crt

いいね、Apacheは幸せです。

私が持っている問題は、"combined.crt"ファイルの正確性を確認する方法です。このファイルはユーザーが作成し、ユーザーが混乱を招くので、ファイルの検証を実行したいと思います。 FWIW... 当社の製品はユーザーからLinuxを完全に隠します。ユーザーはLinuxのコマンドプロンプト、ルートなどにアクセスできません。当社の製品を管理するためのユーザーのすべての作業は、当社の製品のフロントエンドインターフェースを介して行われます。したがって、ユーザーがLinuxプロンプトを入力することに関する回答は機能しません。

CAによって提供されたファイルから生成されたユーザー入力 "combined.crt"を検証するために "openssl"を使用する方法が見つかりません。

1. 証明書が含まれており、混乱しているユーザーのランダムゴミではない場合
2. ファイルに含まれる証明書が実際に有効な証明書チェーンを形成していることを確認してください。つまり、ファイルの証明書が正しい順序であることを確認してください。

私が望むことを行うことが可能であることを知っていますが、openssl verify ...それを機能させる唯一の方法は、両方のCAが別々に提供するファイルを指定することです。

openssl verify -CAfile intermediates.crt server.crt

ユーザーがこれら2つのファイルを別々に提供するようにインターフェースを設計できるようです。ユーザーがテキストエディタを使用して2つのファイルを正しい順序で結合することを期待するのではなく、これを行うこともできます（私にはより多くの作業が必要ですが、ユーザーにとってはより簡単で安全です）。しかし、この時点で - マブソサ - 今それは私に学習の練習に近いです。 Apacheが要求するように、単一の証明書ファイルを検証するために "openssl"を取得する方法があるようです...?

どんな案内にも感謝します。