证书验证返回错误:无法获取颁发者证书

【问题标题】:certificate verify return with error : unable to get issuer certificate证书验证返回错误:无法获取颁发者证书
【发布时间】:2018-10-03 13:04:13
【问题描述】:

我已经创建了端点证书并用我的中间人对其进行了签名:

用中间标记端点

openssl x509 -req -days 3650 -CAcreateserial -CA ../intermediate.crt -CAkey ../intermediate.key.insecure -in server.csr -out server.crt -sha256

我的服务器 csr:

Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=IL, L=Default City, O=mysrvr, OU=666, CN=www.mysrvr.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:cc:.:b2:4d
                Exponent: 65537 (0x10001)
        Attributes:
            a0:00
    Signature Algorithm: sha1WithRSAEncryption
        49:e0:.:.:27:be

我的中级 crt:

openssl x509 -in intermediate_AE.crt -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            11:22:33:44:55:66:77:90
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=US, ST=S1, L=Default City, O=SIP, OU=SIPCA, CN=rootca
        Validity
            Not Before: Apr 23 11:39:29 2018 GMT
            Not After : Apr 20 11:39:29 2028 GMT
        Subject: C=AU, O=Default Company Ltd, OU=666, CN=intermediate
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:d1:.:.:fb:cf
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE, pathlen:1
            X509v3 Subject Key Identifier:
                FE:C5:C3:99:D4:05:71:5B:C6:68:95:D0:29:4F:6C:46:CB:C0:4E:3D
            X509v3 Authority Key Identifier:
                keyid:96:D5:C4:D5:CD:B3:88:D4:90:89:AA:F2:FC:D8:86:8B:DE:70:6F:42

    Signature Algorithm: sha1WithRSAEncryption
        42:e7:..:..:..:d0:2d

当我尝试验证签名时,我得到:

openssl verify -CAfile intermediate.crt server.crt

server.crt: C = AU, O = Default Company Ltd, OU = 666, CN = intermediate
error 2 at 1 depth lookup:unable to get issuer certificate

我的问题:我的命令/中间体有什么问题阻止了正确的链

【问题讨论】:

    标签: openssl ssl-certificate x509


    【解决方案1】:

    OpenSSL 尝试构建一个链,一直返回到自签名根证书。仅信任中间体是不够的,除非您还提供标志“-partial_chain”,即试试这个:

    openssl verify -partial_chain -CAfile intermediate.crt server.crt

    或者,您应该将证书一直提供回根证书。例如

    openssl verify -CAfile rootCA.cert -untrusted intermediate.crt server.crt

    或者,如果您想显式信任中间 CA,您可以将根 CA 和中间 CA 连接到一个文件中:

    openssl verify -CAfile rootAndInter.crt server.crt

    【讨论】:

      猜你喜欢
      • 2016-04-20
      • 2015-03-18
      • 2011-12-26
      • 1970-01-01
      • 2019-03-19
      • 2012-07-18
      • 2016-07-06
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode