Desde abajo, el comando puede generar el pin Base64 solo para el primer certificado de profundidad. Pero necesita generar pin para toda la profundidad del certificado.
openssl s_client -servername example.com -connect example.com:443 -showcerts
| openssl x509 -pubkey -noout | openssl rsa -pubin -outform der | openssl dgst -sha256 -binary | openssl enc -base64
Da solo una clave en lugar de tres,
cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=
Entonces, ¿cómo podemos generar los tres niveles de pines?
Respuesta aceptada:
Aunque estoy mayormente de acuerdo con Romeo en que ya debería tener los archivos de certificado en el servidor, si los tiene necesita procesar los certificados múltiples de un s_client puedes hacer algo como:
openssl s_client ..... -showcerts
| awk '/-----BEGIN/{f="cert."(n++)} f{print>f} /-----END/{f=""}'
# or input from bundle or chain file
for c in cert.*; do
openssl x509 <$c -noout -pubkey .....
done
rm cert.*
# use better temp name/location if you want