mycert.pem
X.509証明書と秘密鍵がありますmykey.pem
。
さらに、証明書にはチェーン全体を構築するためのルート証明書と中間証明書があります。
opensslが証明書を正しく検証するには、正しいハッシュリンクにroot-certroot.pem
とinterterm-certを追加する必要がありました。interm.pem
/etc/ssl/certs
mycert.pem: OK
今openssl s_clientを使用しようとしています。
-keyと-certを設定したが設定しなかったため、サーバー側でエラーが発生します-CAfile
。
openssl s_client -connect my.host.org:433 -cert mycert.pem -key mykey.pem
私はこれについてよくわかりません。ファイルをどのように生成しますか-CAfile
?
-CApath /etc/ssl/certs
代わりに設定しようとしましたが、-CAfile
役に立ちませんでした。
答え1
update-ca-trust
内容を読み、/etc/pki/ca-trust/extracted
新しいルートCAと中間CAを/etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crtに追加するこのユーティリティを試してください。
答え2
サーバーは証明書チェーンを送信しますか、それともリーフ証明書のみを送信しますか?オプションを使用して-showcerts
確認してください。リーフ証明書のみを送信すると、証明書はリンクされません。はい仲介者はルートではなく信頼できないため、/ etc / ssl / certsのルートCAに送信されます。