OpenSSL:CAファイルの生成

OpenSSL:CAファイルの生成

mycert.pemX.509証明書と秘密鍵がありますmykey.pem

さらに、証明書にはチェーン全体を構築するためのルート証明書と中間証明書があります。

opensslが証明書を正しく検証するには、正しいハッシュリンクにroot-certroot.pemとinterterm-certを追加する必要がありました。interm.pem/etc/ssl/certs

mycert.pem: OK

今openssl s_clientを使用しようとしています。

-keyと-certを設定したが設定しなかったため、サーバー側でエラーが発生します-CAfile

openssl s_client -connect my.host.org:433 -cert mycert.pem -key mykey.pem

私はこれについてよくわかりません。ファイルをどのように生成しますか-CAfile

-CApath /etc/ssl/certs代わりに設定しようとしましたが、-CAfile役に立ちませんでした。

答え1

update-ca-trust内容を読み、/etc/pki/ca-trust/extracted新しいルートCAと中間CAを/etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crtに追加するこのユーティリティを試してください。

答え2

サーバーは証明書チェーンを送信しますか、それともリーフ証明書のみを送信しますか?オプションを使用して-showcerts確認してください。リーフ証明書のみを送信すると、証明書はリンクされません。はい仲介者はルートではなく信頼できないため、/ etc / ssl / certsのルートCAに送信されます。

関連情報