我遇到了openssl抱怨無法驗證本地頒發的證書,我也有CA鏈。除了LOCAL CA Chain證書(CER,PEM,CRT)之外,我還有本地頒發的證書(PEM和CRT)。根和發行者是相同的服務器。比較兩個證書上的文本,兩者都匹配「issuer:」字段。這是redhat Linux服務器。 我收到錯誤「驗證錯誤:num = 20:無法獲得本地發行者證書」和「驗證返回碼:21(無法驗證第一個證書)」「驗證返回碼:21(無法驗證第一個證書)」
我不知道該找什麼。 ,任何反饋意見。
感謝
喬恩
故障排除步驟
- 我確實添加了發行人CA證書到Linux上使用證書cerutil的certutil -d的/ etc/PKI/nssdb -A -t「 C ,,「-n DomainA1-Server1CA -i /root/DomainA1-Server1CA.cer
-Ran certutil -d/etc/pki/nss DB-L和我能看到的證書有
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
DomainA1-Server1CA C,,
冉的OpenSSL的s_client.First -connect ServerA2:443 -CAfile /root/certs/DomainA1-Server1CA.cer,tried用(.CRT和.PEM) ,上面有2個錯誤。 -Ran openssl s_client -connect ServerA2:443 -CApath/root/certs,嘗試使用(.CRT和.PEM),上面有2個錯誤。
ran openssl s_client -connect ServerA2:443。上面有2個錯誤。
頒發證書片斷
Data:
Version: 3 (0x2)
Serial Number:
54:a9:50:a3:00:01:00:00:14:47
Signature Algorithm: sha1WithRSAEncryption
Issuer: DC=com, DC=domainA1, CN=DomainA1-Server1CA
Validity
Not Before: April 5 16:45:48 2017 GMT
Not After : April 5 16:45:48 2019 GMT
Subject: C=US, ST=NY, L=CityA, O=CompanyNAME, OU=IT,
CN=ServerB1.DomainA1.com
CA證書鏈
Data: Version: 3 (0x2)
Serial Number: 19:11:eb:af:4c:d5:a9:94:49:ka:2f:41:f2:e1:09:g2
Signature Algorithm: sha256WithRSAEncryption
Issuer: DC=com, DC=domainA1, CN=DomainA1-Server1CA
Validity
Not Before: Aug 15 18:41:45 2015 GMT
Not After : Aug 15 18:41:45 2025 GMT Subject: DC=com, DC=domainA1,
CN=DomainA1-Server1CA Subject Public Key Info:
Public Key Algorithm: rsaEncryption Public-Key: (2048 bit)
...C.A
X509v3 Key Usage:
Digital Signature, Certificate Sign, CRL Sign
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Subject Key Identifier:
是什麼'e4720ca1b42c1ebb.crt'以及爲什麼要在這個位置添加? –