Nie można zweryfikować certyfikatu z StartSSL?

1

Jestem nowym użytkownikiem OpenSSL i nie mogę zweryfikować certyfikatu z StartSSL.

Polecenie, które próbowałem zweryfikować, to: 

openssl verify -CAfile ca.pem mydomain.com.crt

Błąd, który dostałem, był: 

error 20 at 0 depth lookup:unable to get local issuer certificate
certificate openssl nXqd
źródło

Odpowiedzi:

1

Sprawdź swój plik „ca.pem”. Zgaduję, że nie zawiera wszystkich niezbędnych certyfikatów pośrednich.

(Źródła: Dokumentacja „sprawdź” - & gt; Błąd 20. https://www.openssl.org/docs/apps/verify.html )

StackzOfZtuff
źródło
1
Kiedy CA dostarczył certyfikat EE podmiotowi, powinien był dostarczyć odpowiednie certyfikaty pośrednie, często jako „pakiet”. Jeśli jesteś tematem, możesz albo dodać te certyfikaty (jeśli to konieczne przekonwertowane na PEM) do ca.pem, być może tymczasowo, albo możesz je dostarczyć (ponownie w PEM) -untrusted. Jeśli nie jesteś podmiotem, zdobądź je od tematu lub jeśli są (poprawnie) zainstalowane na dostępnym serwerze, możesz je uzyskać, wykonując połączenie z tym serwerem za pomocą s_client -showcerts.
dave_thompson_085
1

Skąd masz swój ca.pem?

Polecam iść https://www.startssl.com/certs/ i, jak zaleca @ dave_thompson_085, uzyskanie poprawnego pakietu - na przykład ca-bundle.pem wygląda całkiem dobrze.

To dlatego, że StartSSL wydaje wszystkie certyfikaty za pośrednictwem półproduktów - w przypadku darmowych certyfikatów klasy 1 certyfikaty pośrednie znajdują się https://www.startssl.com/certs/class1/sha2/pem/ dla SHA-2 (które naprawdę powinieneś używać) podpisane certyfikaty klasy 1

Anti-weakpasswords
źródło