it-swarm.com.de

OpenSSL holt standardmäßig keine Zertifizierungsstellen im Zertifikatordner ab

Unter Ubuntu 12.04 LTS wird ein Fehler bei der Zertifikatüberprüfung angezeigt, wenn der CA-Pfad nicht explizit festgelegt ist

Versuchte mehrere Lösung. Aber nichts geht. Es ist sehr problematisch, neue Pakete auf meinem System zu installieren (mindestens auf zwei Systemen ausprobiert)

Erfolgreicher Befehl:

openssl s_client -connect secure.ogone.com:443 -showcerts -CApath /etc/ssl/certs/ 

Success with Verify return code: 0 (ok) 

Befehl nicht erfolgreich

openssl s_client -connect secure.ogone.com:443 -showcerts 

Failed with Verify return code: 20 (unable to get local issuer certificate)

Ich habe versucht, die Lösung anhand der Wiki-Antworten zu verfolgen, aber sie funktioniert auch nicht

openssl x509 -noout -hash -in /etc/ssl/certs/GeoTrust_Global_CA.pem 2c543cd1    
openssl x509 -noout -subject_hash_old -in /etc/ssl/certs/GeoTrust_Global_CA.pem 7999be0d    
openssl x509 -noout -subject_hash -in /etc/ssl/certs/GeoTrust_Global_CA.pem 2c543cd1

Ich kann den Unterschied bei den Hashwerten erkennen

Ich habe versucht, ein Skript hinzuzufügen, um eine symbolische Verknüpfung mit -subject_hash_old und -subject_hash zu erstellen.

Aber das Problem tritt weiterhin auf und ich erhalte den Fehlercode Verify return code: 20 (unable to get local issuer certificate).

#!/bin/sh
Create following script to create symbolic links in /etc/ssl/certs
Link with subject_hash_old and subject_hash is successfully created


for FILE in /etc/ssl/certs/*.pem
do
   hasholdsub=`openssl x509 -noout -subject_hash_old -in $FILE`
   hashsub=`openssl x509 -noout -subject_hash -in $FILE`

   echo $hasholdsub $hashsub

   ln -s $FILE  $hasholdsub.0
   ln -s $FILE  $hashsub.0
   cat  $FILE >> ca-certificats-gen.crt
done

Dieses Problem besteht jedoch weiterhin

Bitte helfen Sie, das Problem zu beheben.

1
Manoj Jain

Bitte versuchen Sie es mit -CAfile anstelle von -CApath und verweisen Sie auf die einzelne verkettete CA-Zertifikatsdatei. Z.B.:

openssl s_client -connect secure.ogone.com:443 -showcerts \
                 -CAfile /etc/ssl/certs/ca-certificates.crt

Dies funktioniert bei mir mit verify return:1 und einer vollständigen Zertifikatskette.

Hintergrundinformationen: Dieser /etc/ssl/certs/ca-certificates.crt wird mit dem Befehl update-ca-certificates verwaltet. Dabei werden einfach alle systemweit installierten Zertifikate verkettet, einschließlich der manuell in /usr/local/share/ca-certificates/ installierten.

2
gertvdijk