he creado un PEM certificado de un certificado PFX y quería comprobarlo.
Sin embargo me encontré con este problema, intenta encontrar algunas respuestas, pero yo no y por lo tanto no sé cómo solucionarlo.
podría usted por favor, consejos?
muchas gracias.

C:\OpenSSL-Win32\bin>set OPENSSL_CONF=C:\OpenSSL-Win32\bin\openssl.cfg

C:\OpenSSL-Win32\bin>openssl
OpenSSL> verify C:\mycert.pem
C:\mycert.pem: C = CZ, ST = Sprava zakladnich registru, L = "Obec=Praha,Ulice=Na Vapence,PSC=13000", O = 72054506, OU = 4333, CN = tstcawilly.szr.local
error 20 at 0 depth lookup:unable to get local issuer certificate
error in verify
OpenSSL>
OpenSSL> verify -CAfile C:\mycert.pem C:\mycert.pem
C:\mycert.pem: C = CZ, ST = Sprava zakladnich registru, L = "Obec=Praha,Ulice=Na Vapence,PSC=13000", O = 72054506, OU = 4333, CN = tstcawilly.szr.local
error 20 at 0 depth lookup:unable to get local issuer certificate
error in verify
OpenSSL>
  • Mismo problema aquí con un nuevo certificado expedido a nosotros y se instala en un servidor tomcat.
InformationsquelleAutor spaghi | 2013-04-26

1 Comentario

  1. 19

    OpenSSL> verificar -CAfile C:\mycert.pem C:\mycert.pem

    Cerca. Usted necesita para añadir el certificado raíz de la CA con -CAfile; y no la de su certificado de entidad final. Algo así como:

    openssl verify -CAfile C:\ca-cert.pem C:\mycert.pem
    

    También, si hay un certificado intermedio, entonces necesita ser añadido a mycert.pem. Así mycert.pem en realidad tienen dos (o más) de los certificados (en lugar de uno).

    La adición de todos los certificados necesarios para mycert.pem en un esfuerzo para construir una cadena válida resuelve el «el directorio en el que» problema. Es un problema bien conocido en la PKI. Esencialmente, un cliente (como yo) que no sabe a dónde ir para obtener falta de certificados intermedios.

    • En el caso de un certificado auto-firmado, no es el certificado autofirmado tanto el CA cert y la entidad cert?
    • No. Restricciones básicas y CA:FALSE se debe establecer. CA:TRUE no se puede definir. Si la CA atributo fuera cierto, los certificados de entidad final podría menta otros certificados.
    • Tan imposible con la auto-firmado? No es claro. Porque sólo hay un cert en este caso, la derecha? Así que un auto-firmado no puede ser un CA, y sin CA, no se puede comprobar… hay algo que me falta, o es en general un mal diseño para SSL.
    • Soy bastante nuevo en el uso de openssl, pero de lo que he reunido openssl confía en los CA por defecto, usted tiene que especificar a qué CA(s) a la confianza. Además, puede crear una CA a sí mismo con openssl (CA:TRUE). Por lo tanto, para obtener un certificado autofirmado para comprobar, primero deberá crear su certificado de la CA & clave, a continuación, crear su «firmados» certificado por la firma con la recién creada de CA. En este punto usted puede ahora comprobar su certificado auto-firmado, utilizando su propia CA. Al menos eso es lo que he reunido las últimas 48 horas o así, y tienen que trabajar a nivel local.

Dejar respuesta

Please enter your comment!
Please enter your name here