SSL/TLS 客戶端身份驗證：如何查看可接受的客戶端證書 CA 名稱？

我有一個 HTTPS 服務，它使用 SSL/TLS 客戶端身份驗證並需要提供證書。如何在openssl s_client不提供客戶端證書的情況下獲取可接受的客戶端證書 CA 名稱列表？

如果我在沒有客戶端證書的情況下嘗試，我會收到以下錯誤：

4967:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:

您需要使用以下-prexit選項：

例如

openssl s_client -connect server:8443 -prexit

程序退出時列印會話資訊。即使連接失敗，這也將始終嘗試列印資訊。通常，如果連接成功，資訊只會列印一次。此選項很有用，因為可能會重新協商正在使用的密碼，或者連接可能會失敗，因為需要客戶端證書或僅在嘗試訪問某個 URL 後才請求。注意：此選項產生的輸出並不總是準確的，因為可能從未建立過連接。

引用自：https://serverfault.com/questions/872275