我在OpenSSL方面遇到了麻烦,抱怨我无法validation本地颁发的证书,而且我也拥有CA链。 除了当地的CA连锁证书(CER,PEM,CRT)之外,我还有(PEM和CRT)本地颁发的证书。 根和发行者是相同的服务器。 比较两个证书上的文本,两者都匹配“签发者:”字段。 这是RedHat Linux服务器。
我收到错误“validation错误:num = 20:无法获得本地发卡行证书”和“validation返回码:21(无法validation第一个证书)”。
我不知道该找什么。
故障排除步骤
我没有使用cerutil certutil -d /etc/pki/nssdb -A -t "C,," -n DomainA1-Server1CA -i /root/DomainA1-Server1CA.cer添加颁发者CA证书到linux证书cerutil certutil -d /etc/pki/nssdb -A -t "C,," -n DomainA1-Server1CA -i /root/DomainA1-Server1CA.cer
冉certutil -d /etc/pki/nssdb -L ,我可以看到那里的证书:
证书昵称信任属性SSL,S / MIME,JAR / XPI DomainA1-Server1CA C ,,
运行openssl s_client -connect ServerA2:443 -CAfile /root/certs/DomainA1-Server1CA.cer ,尝试(.CRT和.PEM),得到了上面的两个错误。
运行openssl s_client -connect ServerA2:443 -CApath /root/certs ,尝试(.CRT和.PEM),得到了上面的两个错误。
运行openssl s_client -connect ServerA2:443 ,得到了上面的两个错误。
颁发证书片段
Data: Version: 3 (0x2) Serial Number: 54:a9:50:a3:00:01:00:00:14:47 Signature Algorithm: sha1WithRSAEncryption Issuer: DC=com, DC=domainA1, CN=DomainA1-Server1CA Validity Not Before: April 5 16:45:48 2017 GMT Not After : April 5 16:45:48 2019 GMT Subject: C=US, ST=NY, L=CityA, O=CompanyNAME, OU=IT, CN=ServerB1.DomainA1.com
CA连锁证书
Data: Version: 3 (0x2) Serial Number: 19:11:eb:af:4c:d5:a9:94:49:ka:2f:41:f2:e1:09:g2 Signature Algorithm: sha256WithRSAEncryption Issuer: DC=com, DC=domainA1, CN=DomainA1-Server1CA Validity Not Before: Aug 15 18:41:45 2015 GMT Not After : Aug 15 18:41:45 2025 GMT Subject: DC=com, DC=domainA1, CN=DomainA1-Server1CA Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) ...CA X509v3 Key Usage: Digital Signature, Certificate Sign, CRL Sign X509v3 Basic Constraints: critical CA:TRUE X509v3 Subject Key Identifier: