状況は次のとおりです
- ルート証明書(「手作り」)を保持
- 以前の証明書が署名した「中間」証明書があります(「自家製」証明書もあります)。
- 2つのホストがあります(ㅏそして第二)、上記の(CA)証明書がインストールされています
/etc/ssl/証明書/
- ホストAに証明書があります。C1(中間 CA によって署名される) と秘密鍵K1ネットワーク(SOAP)リスナーで使用するように構成されています。
- ホストBに証明書があります。C2(中間 CA によって署名される) と秘密鍵K2ネットワーク(SOAP)リスナーで使用するように構成されています。
ホストからㅏ両方のホストのネットワークサービスを正常に使用し、ホストでコマンドを実行できます。ㅏ:
openssl s_client-connectㅏ:18080 openssl s_client-connect第二:18080
みんな戻ってくる
... 確認戻りコード:0(正常) ...
しかし、ホストでは第二ネットワークサービス(証明書が確認されていない)が正常に利用できず、ホスト上でコマンドを実行できません。第二:
openssl s_client-connectㅏ:18080 openssl s_client-connect第二:18080
みんな戻ってくる
... 確認戻りコード:7(証明書署名に失敗しました) ...
確認が成功すると、上記のコマンドの出力に次の内容が含まれます。
接続済み(00000003) Depth = 2 C = CX、ST = SX、L = Loc、O =組織、Eメールアドレス=[Eメール保護] 検証リターン: 1 Depth = 1 C = CX、ST = SX、L = Loc、O =組織、Eメールアドレス=[Eメール保護] 検証リターン: 1 Depth = 0 C = CX, ST = Loc, L = Loc, O = Comp, OU = OX, CN = a.comp.int, emailAddress =[Eメール保護] 検証リターン: 1 --- 証明書チェーン 0秒: /C=CX/ST=Loc/L=Loc/O=Comp/OU=OX/CN=a.comp.int/[Eメール保護] i:/C=CX/ST=SX/L=Loc/O=組織/[Eメール保護] ---
確認が失敗した場合、上記のコマンドの出力には次のものが含まれます。
接続済み(00000003) Depth = 1 C = CX、ST = SX、L = Loc、O =組織、Eメールアドレス=[Eメール保護] 検証リターン: 1 Depth = 0 C = CX, ST = Loc, L = Loc, O = Comp, OU = OX, CN = a.comp.int, emailAddress =[Eメール保護] 確認エラー:num = 7:証明書署名に失敗しました。 検証リターン: 1 Depth = 0 C = CX, ST = Loc, L = Loc, O = Comp, OU = OX, CN = a.comp.int, emailAddress =[Eメール保護] 検証リターン: 1 --- 証明書チェーン 0秒: /C=CX/ST=Loc/L=Loc/O=Comp/OU=OX/CN=a.comp.int/[Eメール保護] i:/C=CX/ST=SX/L=Loc/O=組織/[Eメール保護] ---
誰かが問題がどこにあるかを調べるのに役立ちますか?
ホストコンピュータにありますか?第二認証チェーン(ルートCA - 中間CA)(イーサリアム証明書を検証できません)はどういうわけか「破損」しましたか?これをさらにデバッグするにはどうすればよいですか?
ホストにopensslがあっても第二Firefoxが実行されているイーサネットホストで証明書を確認できません。第二また、上記のルートCAと中間CAをインポートした独自の証明書ストアを使用して、これを正常に確認しました。
また家主の立場でㅏ予想通り、すべてがうまくいきます。
もう一つ:コマンド
openssl verify -CAfile /etc/ssl/certs/CA.pem -untrusted /etc/ssl/certs/Int_CA.pem /home/<user>/.ssh/id_b.pub
ホストから第二結果を生成します。
/home/<ユーザー>/.ssh/id_b.pub: 確認
だから今回はすべてが順調に進んだようです。