OpenSSL Перевірка коду повернення: 20 (не вдається отримати сертифікат місцевого емітента)

Я працюю під управлінням Windows Vista і намагаюся підключитися через https, щоб завантажити файл у багатокомпонентній формі, але у мене виникають проблеми з сертифікатом місцевого видавця. Я просто намагаюся зрозуміти, чому це зараз не працює, і повернутися до мого коду cURL пізніше після того, як це буде розроблено. Я запускаю команду:

openssl s_client -connect connect_to_site.com:443

Це дає мені цифровий сертифікат від VeriSign, Inc., але також видає помилку:

Verify return code: 20 (unable to get local issuer certificate)

Що таке сертифікат місцевого емітента? Це сертифікат з мого власного комп’ютера? Чи є спосіб обійти це? Я спробував використовувати файл -CAfile mozilla.pem, але все одно видає мені таку ж помилку.

У мене була та ж проблема, і я вирішив її, передавши шлях до каталогу, де зберігаються ключі ЦС. На Ubuntu це було:

openssl s_client -CApath /etc/ssl/certs/ -connect address.com:443

Ця помилка також трапляється, якщо ви використовуєте самопідписаний сертифікат із keyUsageвідсутнім значенням keyCertSign.

Рішення: Ви повинні явно додати параметр -CAfile your-ca-file.pem.

Примітка: Я спробував також param, -CApathзгаданий в інших відповідях, але це не працює для мене.

Пояснення: Помилка unable to get local issuer certificateозначає, що opensslне знає вашого кореневого сертифіката ЦС.

Примітка: Якщо у вас веб-сервер з більшою кількістю доменів , не забудьте також додати -servername your.domain.netпараметр. Цей параметр буде "Встановити ім'я сервера розширення TLS у ClientHello". Без цього параметра відповідь завжди міститиме сертифікат SSL за замовчуванням (не сертифікат, який відповідає вашому домену).

Ваш сервер налаштований на автентифікацію клієнта? Якщо так, вам потрібно передати сертифікат клієнта під час з’єднання з сервером.

У мене була та ж проблема на OSX OpenSSL 1.0.1i від Macports, і мені також довелося вказати CApath як обхідний шлях (і, як згадується у звіті про помилки Ubuntu, навіть недійсний CApath зробить openssl виглядати в каталозі за замовчуванням). Цікаво, що підключення до того самого сервера за допомогою PHP-функцій openssl (як у PHPMailer 5) працювало нормально.

З автентифікацією клієнта:

openssl s_client -cert ./client-cert.pem -key ./client-key.key -CApath /etc/ssl/certs/ -connect foo.example.com:443

помістіть свій сертифікат CA & root у / usr / share / ca-certificate або / usr / local / share / ca-certificate. Тоді

dpkg-reconfigure ca-сертифікати

або навіть перевстановити пакет ca-certificate за допомогою apt-get.

Після цього ваш сертифікат збирається в системну БД: /etc/ssl/certs/ca-certificates.crt

Тоді все повинно бути добре.

Створіть файл ланцюжка сертифікатів з проміжним та кореневим ca.

cat intermediate/certs/intermediate.cert.pem certs/ca.cert.pem > intermediate/certs/ca-chain.cert.pem

chmod 444 intermediate/certs/ca-chain.cert.pem

Потім верфіфікуйте

openssl verify -CAfile intermediate/certs/ca-chain.cert.pem \
  intermediate/certs/www.example.com.cert.pem

www.example.com.cert.pem: Добре Розгорніть сертифікат

Я зіткнувся з такою ж проблемою: це було виправлено після збереження в сертифікаті вартості предмета емітента, оскільки воно є предметом сертифіката емітента.

тому перевірте "значення предмета емітента в сертифікаті (cert.pem) == предмет емітента (CA.pem)"

openssl перевірка -CAfile CA.pem cert.pem
cert.pem: Добре

це повідомлення про помилку означає, що CABundle не надається (-CAfile ...) АБО файл CABundle не закривається самопідписаним кореневим сертифікатом.

Не хвилюйся. Підключення до сервера працюватиме, навіть якщо ви отримаєте це повідомлення з openssl s_client ... (передбачається, що ви також не приймаєте іншої помилки)